ボットとは

ボット（bot）とは、コンピュータを外部から遠隔操作を行う不正プログラムである。 ロボット（Robot）のように、対象コンピュータを意のままに操ることができることが名前の由来。有名なものにSdbotやGaobot（Agobot）がある。

ボットにおける最大の特徴はボットネットワークを構成することである。 ボットネットワークとは、ボット感染に感染した複数のコンピュータを攻撃者が一括して遠隔操作できる仕組のこと。構成するPCの数は数百～数千・数万に及ぶこともある。

用語

C&C（command and control server）サーバ

ボットネットワークに対して指令（command）を出し、制御（control）するサーバー。通信の手段としてIRCが用いられることが多い。

IRC（Internet Relay Chat）

サーバを介して会話（チャット）をする枠組みの名称である。 TCPプロトコルとして主に用いる。

ハーダー

ボットを操る攻撃者のこと。

ゾンビPC

ボットに感染したパソコンのこと。

攻撃の内容

• 情報の盗窃・改ざん
• ネットワーク内のほかのコンピュータへの感染活動
• 大量のスパムメールやフィッシングメールの送信、DDoS攻撃などを、ボットネットワークを用いて高効率に行う

特徴・問題点

• 遠隔操作が可能なので、ファイル操作やプロセス操作、ほかのサーバへの攻撃などさまざまなことができる。

• 感染したコンピュータを不正なメールの送信やDDoS攻撃に利用するので、被害者が加害者にもなりうる。

• また、C&Cサーバとの通信の中で、自身のアップデートを行い、ウイルス対策ソフトウェアによる検出を免れたり、攻撃に必要な機能を追加することができる。

• 命令の実行まで待機して、すぐに被害を出さないことも多く、感染に気が付きにくい。

• 自己隠蔽のためにHostsファイルの改ざんを試みることが多い。

• 他のマルウェアでもいえることだが、より多くの亜種を作るためのソースコードが公開されている。（ex:Sdbot、Gaobot）

感染経路

1. ウイルスメールの添付ファイルの実行による感染
2. 不正な(ウイルスの埋め込まれた)Webページの参照による感染
3. スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染
4. コンピュータの 脆弱性*1 を突く、ネットワークを通じた不正アクセスによる感染
5. 他のウイルスに感染した際に設定される バックドアを通じてネットワークから感染
6. ファイル交換(PtoP)ソフトの利用による感染
7. IM(インスタントメッセンジャ)サービスの利用による感染

対策

ユーザー

• コンピュータのOSやアプリケーションを最新状態にしておく。
• ウイルス対策ソフトを最新の状態に保つ。
• Hostsファイルの改ざんを確認する

管理者

• 外部不正サイトへのアクセスをブロックする。
• ネットワーク内の不審な通信や挙動を可視化する。

Webサイトなどの運営者

• 侵入されてWebページなどがボットの感染用に改ざん(ウイルスの埋め込みなど)されないよう、対策をする。
• ホストのOSやアプリケーションを最新状態にしておく。
• 異常が見つかったら、即座にWebを閉鎖するなど被害拡大防止の措置をとる。