DDoSボットネットとは?

記録上最大規模のDDoS攻撃はボットネット攻撃です。 デバイスがボットネットマルウェアに感染する仕組みやボットをリモート制御する方法、ネットワークをボットネットの侵入から保護する方法を学びましょう。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • DDoSボットネットの定義
  • ボットネットの作成理由の説明
  • ボットネットがリモートから攻撃者に制御される仕組みの理解
  • ボットネットを無効化し侵入を防止する戦略の理由

記事のリンクをコピーする

ボットネットとは?

ボットネットとは、マルウェアに感染し、悪意のある攻撃者の制御下に置かれたコンピューター群を指します。ボットネットという言葉は、ロボットとネットワークのかばん語で、各感染デバイスのことをボットと呼びます。ボットネットは、スパムの送信、データの盗難、ランサムウェア広告の不正クリック分散型サービス妨害(DDoS)攻撃などの違法または悪意のあるタスクを実行するように設計できます。


ランサムウェアなどの一部のマルウェアがデバイス所有者に直接的な影響を与えるのに対し、DDoSのボットネットマルウェアの可視性のレベルは異なります。デバイスを完全に制御できるように設計されるものもあれば、バックグラウンドプロセスとして静かに実行し、「ボットハーダー」と呼ばれる攻撃者からの指示を静かに待つものもあります。


自己伝達型のボットネットはさまざまなチャネルを通じて別のボットを補強していきます。感染経路には、Webサイトの脆弱性の悪用、トロイの木馬マルウェア、脆弱な認証のクラッキングによるリモートアクセスの獲得などがあります。アクセスを獲得すると、これらの感染方法はすべて、ターゲットデバイスにマルウェアをインストールし、ボットネットのオペレーターによるリモート制御を可能にします。デバイスが感染すると、周辺ネットワークにある他のハードウェアデバイスを獲得することでボットネットマルウェアを自己伝達しようとすることもあります。


ボットネット内の正確なボット数を特定することは不可能ですが、高度なボットネット内にあるボットの推定総数は数千から数百にもおよびます。

DDoSボットネット攻撃のアニメーション

ボットネットの作成理由とは?

ボットネットを使用する理由は、積極行動主義から国家主導の機能停止まで多岐にわたり、多くの攻撃は単に利益を得るために実行されます。ボットネットサービスをオンライン採用することは、特にボットネットによって生じる可能性がある損失額を考えると比較的安価と言えます。ボットネットを作成する障壁も低いため、一部のソフトウェア開発者にとっては儲かるビジネスです。特に、規制や法執行が限定的である場所となるとなおさらです。この組み合わせにより、有料の攻撃を提供するオンラインサービスが急増しました。

ボットネットのコントロール方法とは?

ボットネットの主な特徴はボットハーダーからの最新指示を受け取れることです。ネットワーク内の各ボット間で通信できることにより、攻撃者は攻撃ベクトルの変更やターゲットとなるIPアドレスの変更、攻撃の中止、その他カスタマイズした行動を取ることが可能です。ボットネットの設計はさまざまですが、その制御構造は2つのカテゴリーに分けられます。

クライアント/サーバーのボットネットモデル

クライアント/サーバーモデルは、個別マシンが情報にアクセスするために1台の中央サーバー(または少数の中央サーバー)に接続するという従来のリモートワークステーションのワークフローを真似たものです。このモデルでは各ボットが指示を受け取るためにWebドメインやIRCチャネルのようなコマンドアンドコントロールセンター(CnC)リソースに接続します。このような中央リポジトリを用いてボットネットの新規コマンドを配信することにより、攻撃者は各ボットネットがコマンドセンターから消費するソースマテリアルを変更するだけで、感染したマシンへの指示を更新することができます。ボットネットを制御する中央サーバーは、攻撃者が所有・操作するデバイスであることもあれば、感染デバイスであることもあります。


次のような人気のある中央ボットネットトポロジーが多く確認されています。

スター型ネットワークトポロジー

スター型ネットワークトポロジーのアニメーション

マルチサーバーネットワークトポロジー

マルチサーバーネットワークトポロジーのアニメーション

階層型ネットワークトポロジー

階層型ネットワークトポロジーのアニメーション

こうした「クライアント/サーバー」モデルでは、各ボットは指示を受け取るために、WebドメインやIRCチャネルのようなコマンドセンターリソースに接続します。こうした集中管理型リポジトリを利用してボットネットに新しいコマンドを提供することで、攻撃者は、感染したマシンに対する指示を更新するために、各ボットネットがコマンドセンターから消費するソースマテリアルを変更するだけで済みます。


限られた数の集中管理型ソースからボットネットへの指示を簡単に更新できてしまうということが、これらのマシンの脆弱性です。集中管理型サーバーを使用するボットネットを排除するには、サーバーのみを破壊すればよいのです。こうした脆弱性により、ボットネットマルウェアの作成者は、単一障害点または複数障害点を介した破壊による影響を受けにくい新しいモデルに進化して移行しました。

ピアツーピア(P2P)のボットネットモデル

「クライアント/サーバー」モデルの脆弱性を回避するために、最近のボットネットは分散型ピアツーピアのファイル共有の構成要素を使用して設計されています。ボットネットに制御構造を埋め込むことにより、集中管理型サーバーを使用するボットネット内にある単一障害点を排除することができるため、軽減策を講じるのがより困難になります。P2Pボットは、クライアントとコマンドセンターの両方である場合があり、隣接ノードと連携してデータを転送します。


ピアツーピアのボットネットは、通信をやり取りしてマルウェアを更新できる、信頼できるコンピューターの一覧を保持しています。ボットが接続するほかのマシンの数を制限することで、各ボットは隣接デバイスにのみ暴露されるので、追跡しにくくなり軽減策を講じるのが難しくなります。集中管理型コマンドサーバーがないことで、ピアツーピアのボットはボットネットの作成者以外の誰かによって制御されやすくなります。制御喪失を防ぐために、通常、アクセスが制限されるように分散型ボットネットは暗号化されます。

ピアツーピアのネットワークトポロジーのアニメーション

IoTデバイスがボットネットになる仕組みとは?

鳥が餌箱に来るのを見るために裏庭に設置したワイヤレスのCCTVカメラからインターネットバンキングを行う人はいませんが、だからといってこのデバイスから必要なネットワークリクエストをすることができないというわけではありません。IoTデバイスの力とセキュリティの弱さや不適切な設定を組み合わせることで、ボットネットマルウェアが新たなボットを収集するための入り口が作られます。IoTデバイスの増加により、多くのデバイスの設定が不適切で脆弱であるため、DDoS攻撃のための新たな状況が生まれました。


IoTデバイスの脆弱性がファームウェアにハードコーディングされている場合、アップデートはより困難になります。リスクを軽減するため、古いファームウェアを使用するIoTデバイスはアップデートする必要があります。なぜなら、デフォルトの認証情報がデバイスの初期インストールから変更されないままであることが多いからです。多くの格安ハードウェアのメーカーは、デバイスをより安全にする動機付けがないため、ボットネットマルウェアがIoTデバイスにもたらす脆弱性は、未解決のセキュリティリスクとして残ります。

既存のボットネットを無効化するには?

ボットネットのコントロールセンターの無効化

コマンドアンドコントロールスキーマを使用して設計されたボットネットは、いったんコントロールセンターを特定すればより簡単に無効にできます。障害点で無効にすることで、ボットネット全体をオフライン状態にすることができます。その結果、システム管理者と法執行機関は、そうしたボットネットのコントロールセンターを取り締まることに焦点を当てることができます。コマンドセンターが法執行機関が介入しにくい、または介入する意思がない国に所在する場合、このプロセスはより困難になります。

個別デバイスの感染を排除

個人用コンピューターの場合、マシンのコントロールを取り戻す策として、ウイルス対策ソフトの実行、安全なバックアップからのソフトウェアの再インストール、システムの再フォーマット後のクリーンなマシンでのやり直しなどが挙げられます。IoTデバイスの場合、ファームウェアのフラッシュや工場出荷時のリセットの実行、その他デバイスフォーマットといった対策があります。こういったオプションが実行できない場合、デバイスのメーカーやシステム管理者による他の対策が利用できる場合もあります。

デバイスがボットネットの一部になるのを防ぐ方法とは?

安全なパスワードの作成

多くの脆弱なデバイスでは、管理者の資格情報をデフォルトのユーザー名やパスワード以外のものに変更するという簡単な方法でボットネットの脆弱性に晒すのを減らすことができます。安全なパスワードにすることでブルートフォースクラッキングが困難になり、非常に安全なパスワードにすればブルートフォースクラッキングが事実上不可能になります。たとえば、Miraiマルウェアに感染したデバイスが応答デバイスを探してIPアドレスをスキャンします。デバイスがpingリクエストに応答すると、ボットはデフォルトの資格情報のプリセットリストを利用して検出したデバイスにログインしようとします。デフォルトのパスワードが変更されており安全なパスワードになっていれば、ボットは諦めて他のもっと脆弱なデバイスを探しに行きます。

信頼できるサードパーティのコードの実行のみを許可

携帯電話モデルのソフトウェア実行を採用すると、ホワイトリストに追加されているアプリケーションのみが実行できるので、ボットネットを含む、悪意のあるソフトウェアと判断されたものを強制終了するコントロールが付与されます。スーパーバイザーソフトウェア(カーネル)の悪用のみがデバイスの悪用という結果をもたらすことになります。このように最初からセキュアなカーネルを持つことは、サードパーティソフトウェアを実行しているマシンに対して適用可能ですが、大部分のIoTデバイスはセキュアなカーネルを持っていません。

定期的なシステムワイプ/リストア

一定時間を経た状態を既知の良好な状態に回復することで、システムが収集したボットネットソフトウェアのような不要物を排除できます。この戦略を予防策として使用することで、静かに実行しているマルウェアも排除することができます。

優れたイングレス/エグレスのフィルタリングを実装

ほかのより高度な戦略には、ネットワークルーターやファイアウォールでのフィルタリングがあります。セキュアなネットワーク設計の原則は階層化です。公的にアクセス可能なリソースについては最低限の制限を設けて、機密性の高いと思われるものについてはセキュリティを絶え間なく強化していきます。また、こうした境界をまたぐもの、ネットワークトラフィック、USBドライブなどについては精査する必要があります。しっかりとしたフィルタリングを行うことで、ネットワークに侵入する前にDDoSマルウェアとその増殖や通信を検知できる可能性が増します。


現在攻撃を受けているのであれば、困難から逃れるためにできることがあります。Cloudflareに既にご登録されている方は、攻撃を軽減するためのステップに従ってください。今後受ける可能性のある多くの攻撃ベクトルを軽減するため、Cloudflareで実施しているDDoS対策は多角的です。CloudflareのDDoS対策について詳しくご確認ください。