はじめに
サイバーセキュリティに対する脅威は日々多様化・深刻化し、企業においても対応が急務となっています。とくに近年ではIoT機器へのサイバー攻撃が活発化している傾向にあります。このような攻撃を通じて、顧客データの保護やビジネスの信頼性にも深刻な影響を及ぼすもののひとつが「ボットネット」です。この記事では、ボットネットの概要と危険性、具体的な対策について解説していきます。
ボットネットとは?概要と危険性
ボットネットとは、「ボット」に感染したデバイスが集まってネットワークを形成したものです。ボットとは、ネットワーク経由でコマンドが実行可能なマルウェア(悪意をもったソフトウェア)のことで、「ロボット」のように外部から操作できることが名前の由来です。コンピュータやIT機器がボットに感染すると、所有者の意図とは関係なく、攻撃者の制御下で遠隔操作されるようになります。何千何万というデバイスが攻撃者に操られ、組織的に悪意ある活動を行う点がボットネットの最大の特徴です。
ボットネットの危険性は、デバイスがボットに感染しても目立った異変がないため気付きにくく、感染が広がりやすい点にあります。ボットに感染したデバイス一つひとつが次のデバイスに侵入を試み、ボットが増えていくことでより大規模に及ぶサイバー攻撃が可能になります。また、ボットがアップデートされることも危険性のひとつです。自動または手動でプログラムの更新や追加が行われることで、攻撃力が強化されたものやより検知されにくいものなどが現れます。結果、既存のアンチウイルスプログラムで検出できなくなるといったケースがあり、ボットネットがさらに広がる要因になっています。
マルウェアについての詳細はこちら、
「マルウェアとは?種類から経路、感染対策まで幅広くご紹介します」をご覧ください。
ボットネットの仕組みと感染経路
ボットネットを構成するためには、まずターゲットとなるデバイスにボットを感染させる必要があります。ボットの侵入経路で代表的なのは、「不正に改ざんされたWebサイトを閲覧させる」「ボットを添付ファイルに仕込んだメールを開封させる」「有用なプログラムに偽装してインストールさせる」方法です。このような経路からOSやアプリケーションの脆弱性を突きデバイスに侵入すると、ボットはC&C(コマンドアンドコントロール)サーバと呼ばれる管理サーバにデバイスを接続します。そして、ボットネットの一部として取り込み、外部からのコントロールが可能な状態にします。
ボットはパソコンやIoT機器だけでなく、サーバやスマートフォンに感染した例もあります。インターネットから社内ネットワークを辿り、感染したデバイス同士のP2P(サーバを介さず、デバイス同士で行う通信)のやりとりも利用しながら、より攻撃者にとって制御しやすいネットワークを形成していきます。
ボットネットによる攻撃の例
ボットネットは集団で行動することによって、単一のマルウェアよりもはるかに大きな脅威をもたらします。以下から、ボットネットによる攻撃の代表的な例を挙げていきます。
DDoS攻撃
DDoS(分散型サービス拒否)攻撃は、ボットネットによる攻撃の中でも特に有名です。攻撃者は制御下に置いた多数のボット(感染したデバイス)を用いて、ターゲットとなるWebサイトやオンラインサービスに対して同時多発的なアクセス要求を送ります。ターゲットは正規のトラフィック(ネットワーク上の情報)が処理できなくなり、結果としてサービスの停止につながる可能性があります。サービス停止によって懸念されるのは「顧客の信頼低下を招く」「復旧へのコストがかかる」などの影響です。また、サーバに負荷を与えられたことで脆弱性が発生することも考えられます。
スパムメール
ボットネットはスパムメールの送信にも利用されます。感染した多数のデバイスを利用することで送信元の特定が困難になり、同じ内容のメールを大量かつ効率的に送信が可能です。大量のスパムメールが送信されると企業のメールサーバが過負荷になり、正常な通信が困難になることもあります。また、アドレス帳の情報を攻撃者に盗まれた場合、その情報がさらなる攻撃につながるリスクもあります。例えばフィッシング詐欺に利用され、受信者の個人情報が盗まれる危険もあるでしょう。
データ窃盗
ボットネットは、感染したコンピュータから機密情報や個人データを盗み出すことにも使われます。例えばキーロガー(デバイスのキー入力を記録する装置)を悪用して、ユーザの入力情報(パスワード、クレジットカード情報など)を記録し、それを攻撃者に送信することがあります。
パスワードやクレジットカード番号などの情報が盗まれてしまうと、「クレデンシャルスタッフィング攻撃」に利用される可能性も考えられます。クレデンシャルスタッフィング攻撃とは、攻撃者が不正に入手したアカウント情報を使って、Webサイトやサービスに不正アクセスを行うものです。情報を盗まれた被害者がIDやパスワードを複数のサイトやサービスで使いまわしている場合、より被害は広がりやすくなります。
そのほかの攻撃例
ボットネットはそのほかにも、「クリプトジャッキング」や広告詐欺、Webクローラーなど、多くの攻撃手法に用いられます。クリプトジャッキングとは、感染したデバイスの処理能力を使用し、暗号資産のマイニング(取引に必要な計算を行い、その対価として暗号資産を受け取ること)を無断で行うものです。処理能力を盗まれることによって、デバイスの性能低下や電気代の大幅な上昇などを招きます。
ボットネットによる広告詐欺は、特定の広告に対して不正にクリック数やインプレッション(広告の表示回数)を増やし、広告主に損失を与えるものです。Webクローラーは、Webサイトの情報を取得することで次のターゲットや攻撃手法を選定するために行われます。このようにボットネットによる攻撃手法は多岐にわたり、企業・個人を問わずさまざまな被害につながっています。
企業を標的にしたサイバー攻撃の例は、こちら
「中小企業を狙うサイバー攻撃!その種類や事例、対策を紹介」でも解説しています。あわせてご覧ください。
「Mirai」による被害の実例
「Mirai」とは、2016年に世界中に影響をもたらしたボットネットの一つです。このボットネットは、数多くのIoT機器を感染させ、史上最大規模のDDoS攻撃を引き起こしたことで知られています。
Miraiは、ログイン情報が出荷時の初期設定のまま、あるいは簡単に推測可能なパスワードが用いられているIoT機器をターゲットにしました。監視カメラやデジタルビデオレコーダー、ルータなどのIoT機器がMiraiに感染すると、攻撃者は遠隔から制御し、特定のターゲットに対して巨大なトラフィックを送りつけることが可能になります。2016年10月には、DNSプロバイダーであるDynに対してMiraiを利用したDDoS攻撃が実施され、多くの有名なWebサイトがアクセス不能に陥りました。この攻撃は、多くのIoT機器が適切なセキュリティ対策を施されずに市場に出回っていることを浮き彫りにしたのです。
Miraiのソースコードはインターネット上に公開されたため、のちに不特定多数の人物によって複数の亜種が生み出されることになりました。Miraiによる攻撃は沈静化したものの、2021年には「Meris」「Satori」などのMirai亜種による攻撃が確認されており、今後もこうしたボットネットによる脅威は継続するものと見られます。
企業が実施すべきボットネット対策
ここからは、企業が講じるべきボットネットの予防策と対策について、具体的に掘り下げていきます。
OSやソフトウェアは常に最新の状態を保つ
OS(オペレーティングシステム)や各種ソフトウェアを常に最新の状態に保つことは、セキュリティを維持するうえで非常に重要です。セキュリティパッチやアップデートには、新たに発見された脆弱性を修正するためのプログラムが含まれています。企業においては自動アップデートを有効にする、または定期的にアップデートを確認し、迅速に適用する体制を整えましょう。
アンチウイルスソフトウェアの利用
アンチウイルスソフトウェアは、マルウェアやウイルスを検出し、削除するためのソフトウェアです。企業ではすべての端末に対して、信頼できるアンチウイルスソフトウェアをインストールし、常に最新の状態に保つ必要があります。また、定期的なスキャンを実行することで、不正な活動を早期に発見できるようにすることが大切です。これにより、ボットネットによる感染のリスクを低減できます。
不審な添付ファイルやWebサイトは開かない
フィッシング攻撃やマルウェアの配布には、不審なメールの添付ファイルやWebサイトがよく使用されます。従業員に対しては、「未知の送信者からのメールや信頼できないソースの添付ファイルを開かない」「不審なリンクや広告のクリックを避ける」「ウェブブラウジングの際にはセキュリティ対策が施されたブラウザを使用する」などの注意喚起を徹底します。従業員向けにセキュリティ意識を向上させる研修を定期的に実施し、最前線での防御を強化することが大切です。
ネットワークトラフィックの監視と分析を行う
企業のネットワークを通過するトラフィックの監視と分析は、不正な活動や異常な動きを早期に発見するための重要な手段です。ボットネットによる攻撃は通常、大量のデータトラフィックを生成します。そのためネットワークトラフィックのパターンを常に監視し、通常とは異なるパターンが検出された場合には、速やかに調査と対応を行うことが必要です。また、IDS(侵入検知システム)やIPS(侵入防止システム)、SIEM(セキュリティ情報およびイベント管理システム)などを使用して、セキュリティインシデントの監視と対応を自動化することも効果的です。
IoT機器のセキュリティを確認する
IoT機器はボットネットの標的になりやすいため、これらのセキュリティをしっかりと確認し、適切な対策を講じることが求められます。まず、すべてのIoT機器に対して初期設定のパスワードを変更し、強力なパスワードを適用することが重要です。さらに、IoT機器のファームウェアを常に最新の状態に保ち、セキュリティパッチが適用されていることを確認する必要があります。不要な機能やポートは無効化し、ネットワークのセグメンテーションを行い、IoT機器が企業ネットワークの他の部分と分離されるようにすることで、よりセキュリティの強化が可能です。
サイバーセキュリティ対策において重要な考え方である「ゼロトラストセキュリティ」については、こちら
「ゼロトラストセキュリティ実現のために|知っておきたいポイントや具体策を解説」で紹介しています。あわせてご覧ください。
まとめ
ボットネットの対策を行ううえでは一時的な解決策ではなく、「持続可能なセキュリティ体制」の構築が求められます。これを実現するためには、経営層のコミットメントが不可欠です。セキュリティへの投資は単なるコストではなく、企業価値を守るための重要な投資であるという認識をもつ必要があります。また、セキュリティチームとIT部門、さらには従業員が一丸となってセキュリティ対策に取り組むことが大切です。
ボットネットとの戦いは継続するものであり、企業は常に警戒を怠らず、最新の脅威情報を収集し、対策を更新し続けることが求められます。セキュリティの専門家との協力関係を築き、業界全体で知識を共有し合い、脅威を防ぐための努力を続けることが、企業のセキュリティを守るうえでの最善の策と言えるでしょう。
セラクではIoTの運用管理やセキュリティ診断、SOC運用などを行っています。自社のセキュリティ対策に不安がありましたら、ぜひ一度ご相談ください。
