ボット
ボットとは
ボット(bot)とは、コンピュータを外部から遠隔操作を行う不正プログラムである。 ロボット(Robot)のように、対象コンピュータを意のままに操ることができることが名前の由来。有名なものにSdbotやGaobot(Agobot)がある。
ボットにおける最大の特徴はボットネットワークを構成することである。 ボットネットワークとは、ボット感染に感染した複数のコンピュータを攻撃者が一括して遠隔操作できる仕組のこと。構成するPCの数は数百~数千・数万に及ぶこともある。
用語
C&C(command and control server)サーバ
ボットネットワークに対して指令(command)を出し、制御(control)するサーバー。通信の手段としてIRCが用いられることが多い。
IRC(Internet Relay Chat)
サーバを介して会話(チャット)をする枠組みの名称である。 TCPプロトコルとして主に用いる。
ハーダー
ボットを操る攻撃者のこと。
ゾンビPC
ボットに感染したパソコンのこと。
攻撃の内容
特徴・問題点
遠隔操作が可能なので、ファイル操作やプロセス操作、ほかのサーバへの攻撃などさまざまなことができる。
感染したコンピュータを不正なメールの送信やDDoS攻撃に利用するので、被害者が加害者にもなりうる。
また、C&Cサーバとの通信の中で、自身のアップデートを行い、ウイルス対策ソフトウェアによる検出を免れたり、攻撃に必要な機能を追加することができる。
命令の実行まで待機して、すぐに被害を出さないことも多く、感染に気が付きにくい。
自己隠蔽のためにHostsファイルの改ざんを試みることが多い。
他のマルウェアでもいえることだが、より多くの亜種を作るためのソースコードが公開されている。(ex:Sdbot、Gaobot)
感染経路
- ウイルスメールの添付ファイルの実行による感染
- 不正な(ウイルスの埋め込まれた)Webページの参照による感染
- スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染
- コンピュータの 脆弱性*1 を突く、ネットワークを通じた不正アクセスによる感染
- 他のウイルスに感染した際に設定される バックドアを通じてネットワークから感染
- ファイル交換(PtoP)ソフトの利用による感染
- IM(インスタントメッセンジャ)サービスの利用による感染
対策
ユーザー
- コンピュータのOSやアプリケーションを最新状態にしておく。
- ウイルス対策ソフトを最新の状態に保つ。
- Hostsファイルの改ざんを確認する
管理者
- 外部不正サイトへのアクセスをブロックする。
- ネットワーク内の不審な通信や挙動を可視化する。
Webサイトなどの運営者
- 侵入されてWebページなどがボットの感染用に改ざん(ウイルスの埋め込みなど)されないよう、対策をする。
- ホストのOSやアプリケーションを最新状態にしておく。
- 異常が見つかったら、即座にWebを閉鎖するなど被害拡大防止の措置をとる。