Zscalerのブログ
Zscalerの最新ブログ情報を受信
ボットネットの仕組みや攻撃の例は?感染経路や対策も解説
近年、サイバー攻撃は年々巧妙化しており、従来のウイルス対策ソフトやファイア ウォールといった従来のセキュリティ対策だけでは防ぎきれないケースが増えています。その代表例がボットネットです。ボットネットとは、ウイルスに感染したパソコンやスマートフォンなどを乗っ取り、遠隔操作で一斉に攻撃を行う仕組みです。
本記事では、ボットネットの基本的な仕組みから、どのように感染するのか、攻撃の具体例、そして企業が取るべき実践的な対策までをわかりやすく解説します。
そもそもボットとは何か
「ボット(Bot)」とは、本来は処理を自動化するプログラムやロボットを指します。検索エンジンのクローラーやチャット ボットのように有益なボットもありますが、サイバー攻撃においては「ボット型マルウェア(ボット ウイルス)」が使われます。
ボット ウイルスはマルウェアの一種で、感染した端末は攻撃者の指示を遠隔で受け取り、迷惑メールの送信やサイバー攻撃への加担などの不正行為を行います。
ボットネットとは
ボットネットとは、ボット ウイルスに感染した多数の端末を、攻撃者が用意したC&C (コマンドアンドコントロール) サーバーから遠隔で制御し、1つの大規模なネットワークとして不正を働く仕組みです。攻撃者の特定も難しく、企業や組織に深刻な被害をもたらします。
ボットネットの主な特徴を挙げると次のような点が挙げられます。
- 感染した端末が大規模攻撃の踏み台として使われる
- 感染した端末の利用者は被害者であると同時に加害者にもなる
- DDoS攻撃、情報窃取、スパム送信など様々な目的に利用される
ボットネットが端末を遠隔操作する流れ
ボットネットは以下の流れで端末を制御します。
- 端末への侵入 (ボット ウイルスに感染)
- 端末がC&Cサーバーに接続
- C&Cサーバーにより端末が遠隔操作される
端末への侵入 (ボット ウイルスに感染)
攻撃者は、フィッシングメール、改ざんされたWebサイト、ソフトウェアの脆弱性などを利用して端末にボットウイルスを仕込むことで侵入を図ります。これらの手口は多くの場合、ユーザーに気づかれないよう隠密に行われるため、感染が検知されないまま次の攻撃段階に進む準備が整えられます。
特に、一部の攻撃手法は高度に洗練されており、従来のセキュリティ対策をすり抜けることも珍しくありません。これにより、端末のリソースを乗っ取ったり、ネットワークを経由して他の端末へ拡散する足がかりとなります。
端末がC&Cサーバーに接続
ボット ウイルスに感染した端末は、利用者の操作なしに自動的にC&Cサーバーへ接続します。C&Cサーバーはボットネット全体の司令塔として機能し、感染した端末は定期的に「ハートビート」と呼ばれる通信を行い、指令を受け取れる状態を維持します。近年はソーシャルメディアやクラウド ストレージなど一般的なサービスを経由したC&C通信も利用されており、通常のWebアクセスに紛れるため検知が難しいのが特徴です。
C&Cサーバーにより端末が遠隔操作される
C&Cサーバーに接続した端末は、攻撃者の命令どおりに動作します。感染した端末からは以下のような不正行為が実行されます。
- DDoS攻撃の一斉実行
- 迷惑メールやスパム メールの大量送信
- ネットワーク内の他端末への感染拡大
C&Cサーバーの指令に基づき、DDoS攻撃やスパムメール送信といった活動に加え、より深刻な攻撃の足がかりとしても悪用されます。例えば、感染端末を踏み台にしてラテラルムーブメント(Lateral Movement) を行い、組織のネットワーク内部へ侵入を拡大させることも可能です。これにより、機密情報へのアクセスやランサムウェアの展開など、さらなる被害につながる恐れがあります。
問題は、攻撃の発信源が一般ユーザーの端末であるため、被害を受けた組織が追跡しても攻撃者本人にたどり着くのが困難な点です。感染した端末の所有者は被害者である一方、知らぬ間に攻撃に加担している加害者でもあります。ボットネットは、攻撃者の身元を隠蔽しながらラテラルムーブメントによる感染拡大を組み合わせた攻撃の規模拡大に利用されており、防御や摘発をさらに困難にしています。
ボットネットが攻撃の検出を回避する仕組み
ボット ウイルスは、ポリモーフィック コード(姿を変えるコード)、ドメイン生成アルゴリズム(DGA)、通信の暗号化などを駆使して密かに動作します。これにより見かけや通信経路を常に変化させ、通常の監視ではその不審な動きを見抜きにくくしています。結果として、シグネチャ ベースのアンチ ウイルス ソフトや従来型のセキュリティ機器だけでは、ボットネットに起因する悪意あるトラフィックの検出や分析は困難になっています。近年では、SNSやクラウドサービスを経由した通信やP2P型ボットネットも登場しており、さらに検知を難しくしています。
ボットネットの攻撃対象となるデバイスの例
インターネットに接続され、マルウェアが動作可能な機器であれば、種類を問わずボットネットの標的になります。攻撃対象になり得る代表的なデバイスには以下のようなものがあります。
- コンピューターやスマートフォン
- 企業のサーバーやルーターなどのネットワーク機器
- 監視カメラや工場の制御機器などのIoTやOTデバイス
ボットネットの侵入起点となる攻撃面
ボットネットの脅威を防ぐ上では、攻撃者がどのような侵入経路を利用するのかを理解し、そのリスクを最小限に抑えることが重要です。特に、自社が抱える「攻撃面(アタックサーフェス)」を明確に把握し、対策を講じることが効果的な防御の第一歩となります。以下では、ボットウイルスが侵入する主な経路について詳しく解説します。
感染経路 | 説明 |
|---|---|
メール内の添付ファイルやリンク | フィッシング メールやスパム メールに添付されたファイルや本文のリンクから感染 |
改ざんされたWebサイト | 正規サイトに見せかけた偽ページを訪問するだけでマルウェアに感染(ドライブ バイ ダウンロード攻撃) |
OSやアプリケーションの脆弱性 | OSやブラウザ、ブラグインなどのセキュリティ ホールから感染 |
メール内の添付ファイルやリンク
業務文書や配送通知を装ったメールに不正なファイルやリンクを仕込み、ファイルを開かせたり、クリックさせたりする手口です。一見、正規のメールに見えるため、利用者が疑わずクリックしてしまい、感染が広がります。
Webサイトの訪問による感染
攻撃者が用意した偽サイトや、改ざんされたサイトにアクセスすることで、自動的にマルウェアをダウンロードさせる手口です。利用者にとっては通常のWeb閲覧に見えるため、不審に感じにくいのが特徴です。
OSやアプリケーションの脆弱性を突いた手口
更新されていないOSやアプリケーションは格好の標的です。攻撃者は脆弱性を利用して侵入し、しばしば軽量のダウンローダー型プログラムを送り込んでから本命のボット ウイルスを仕込みます。
ボットネット攻撃の例
感染した端末がボットネットに組み込まれると、さまざまな攻撃に悪用されます。代表的な攻撃は以下のとおりです。
攻撃手法 | 被害例 |
|---|---|
DDoS攻撃 | サーバーやウェブサイトが過剰な通信量によってサービス停止に陥り、売上機会の喪失や信頼低下に加え、社会的な混乱が引き起こされる。 |
クレデンシャル スタッフィング攻撃 | 感染端末を利用して取得した認証情報を悪用し、アカウント乗っ取りや情報漏洩、不正利用、なりすましなどを行う。 |
迷惑メールやフィッシング メールの大量送信 | 自社ドメインが迷惑メールに悪用されることで、信用が低下し、ブランドイメージが損なわれます。一方で、フィッシングメールによって顧客が詐欺被害に遭う恐れがあり、金銭的損失や情報漏洩が広がる可能性があります。
|
DDoS攻撃
ボットネットの典型的な手口がDDoS攻撃です。感染した多数の端末から標的となるサーバーに一斉にリクエストが送られると、処理能力を超える負荷でサーバーが応答できなくなり、停止状態に陥ります。その結果、オンライン サービスの中断や業務システムの停止が発生し、企業にとっては顧客対応の混乱や信頼の低下、復旧コストの増大といった深刻な被害につながります。
クレデンシャル スタッフィング攻撃
ボットネットは、大量のアカウント情報を使ってログインを試行するクレデンシャル スタッフィング攻撃にも使われますこの手法では、漏えいしたIDとパスワードを使用し、自動的にログインを繰り返して正規アカウントに不正アクセスを試みます。特にパスワードを使い回している環境では成功率が高く、短時間で甚大な被害をもたらす危険があります。
攻撃者は複数の端末を利用して分散的にログインを試みるため、従来のセキュリティシステムでは攻撃を検知したりブロックしたりすることが難しいのが特徴です。また、成功した場合、乗っ取られたアカウントは金銭の不正利用やさらなる攻撃の踏み台として悪用される可能性があります。
迷惑メールやフィッシング メールの大量送信
もう一つの代表例が、迷惑メールやフィッシング メールを大量に送信する攻撃です。これらの攻撃では、感染した端末が発信元として利用され、利用者本人が知らないうちに不正メールの拡散に加担させられます。自社ドメインが迷惑メールに悪用されることで、信用が低下し、顧客や取引先がブランドに対する不信感を抱くようになります。
さらに、不正メールの受信者がフィッシング詐欺に遭うことで、金銭的損失や重要な情報が漏洩する被害が拡大します。この結果、顧客側だけでなく、自社のドメインやIPアドレスがブラックリストに登録され、正規の業務メールまで届きにくくなる二次的な影響を引き起こします。こうした一連の被害は、企業の信頼や運営に深刻な損失をもたらす恐れがあります。
ボットネット攻撃への対策
様々な脅威をもたらすボットネット攻撃への具体的な対策は以下のとおりです。
- 感染を防ぐ予防策(入口対策)
- メール内の不審なファイルやリンクに注意する
- アンチ ウイルス ソフトウェアを導入する
- OSやアプリケーションを最新の状態にする
- 被害を食い止める検知・対応策(出口・内部対策)
- C&Cサーバーとの通信を検知・遮断する
- ゼロトラストの導入で被害拡大を防止する
- ネットワークセグメンテーションでラテラルムーブメントを防ぐ
- 異常行動をリアルタイムで検知・対応する
- 認証と体制の強化
- 多要素認証(MFA)で不正ログインを防ぐ
- 定期的な脆弱性管理とペネトレーションテストを実施する
メール内の不審なファイルやリンクに注意する
攻撃者は業務メールや配送通知を装い、不正な添付ファイルやリンクを仕込んで開かせようとします。一見、正規のメールに見えるため、利用者が疑わずクリックしてしまい感染が広がります。差出人や文面に少しでも違和感を覚えた場合にはメールを開封しないことが重要です。企業においては社員への教育を徹底し、怪しいメールを見つけたら報告、隔離できる体制を整えることで被害を未然に防げます。
アンチ ウイルス ソフトウェアを導入
端末レベルでの防御にはアンチ ウイルス ソフトの導入が欠かせません。近年の製品は従来のシグネチャ検知に加え、ふるまい検知やAIによる異常検出にも対応しています。これにより未知のマルウェアも早期に発見し、感染拡大を防ぐことが可能になります。エンド ポイント防御の第一歩として導入を検討すべき基本的な対策です。
OSやアプリケーションは最新の状態にする
攻撃者が狙う最大の入口は放置された脆弱性です。OSやアプリケーションは常に最新の状態に更新し、セキュリティ パッチを適用することが基本的な防御策となります。これらの更新を怠れば、どれほど強力なセキュリティ ソフトを導入していても侵入を許すリスクが残ってしまいます。定期的な更新や自動アップデートの活用によって、常に堅牢な環境を維持することが重要です。
C&Cサーバーとの通信を検知・遮断する(出口対策の徹底)
万が一ボットウイルスに感染してしまった場合でも、その端末が攻撃者に遠隔操作されなければ、実害は発生しません。ボットネットを無力化する上で極めて重要なのが、感染端末とC&Cサーバーとの間の通信(C2通信)を遮断する「出口対策」です。
近年のC&C通信は、一般的なWebアクセス(HTTPS)に偽装したり、SNSやクラウドストレージなどの正規サービスを悪用したりするため、従来のファイアウォールでは検知が困難です。このため、すべての通信をインラインで検査し、暗号化されたトラフィック(SSL/TLS)も復号して内容を分析できるセキュリティソリューションが不可欠です。これにより、悪意のある通信を特定し、情報が盗まれたり、攻撃の踏み台にされたりする前に通信をブロックできます。
被害拡大の防止にゼロトラストを導入
ボットネットを利用した攻撃は分散型であるため、従来型の境界型セキュリティでは防御が困難となっています。ゼロトラストセキュリティモデルを採用することで、すべてのアクセスを検証し、正規ユーザーのみが端末やネットワークに接続できる体制を構築できます。この対策は、攻撃の初動を制御するとともに、感染拡大を防ぐ効果があります。
ネットワークセグメンテーションを実施
感染拡大を防ぐもうひとつの効果的な方法は、ネットワークをセグメント化することです。内部ネットワークにセグメント(分割)を作り、重要なリソース(データベース、サーバーなど)へのアクセスを制限することで、ラテラルムーブメントを防ぎます。これにより、攻撃が内部で広がるリスクを軽減できます。
異常行動のリアルタイム検出と対応を強化
ボットネット攻撃は分散型で頻度が高いため、ログイン試行やリソース消費の異常をリアルタイムで検知するセキュリティシステム(SIEMやEDRのようなツール)の導入を検討すべきです。攻撃の兆候をいち早く発見することで、被害拡大を未然に防ぐことが可能になります。
クレデンシャルスタッフィング攻撃への多要素認証(MFA)の導入
ボットネットが漏洩した認証情報を利用してログイン試行を行う「クレデンシャルスタッフィング攻撃」に対しては、パスワード以外の認証を求める「多要素認証(MFA)」が効果的です。ログイン時に、ワンタイムコードや生体認証などを導入することで、不正アクセスを阻止します。また、従業員にパスワード使い回しをしないよう指導することも重要です。
定期的な脆弱性管理とペネトレーションテスト
ボットネット攻撃者は脆弱な端末を狙って感染を拡大させます。定期的な脆弱性のスキャンやペネトレーションテストを実施することで、現在のセキュリティ体制に潜むリスクを特定し、すばやく対策を講じることができます。特に自社ネットワークを標的にする攻撃を防ぐための予防策です。
まとめ
ボットネットは、ボット ウイルスに感染させた端末を遠隔操作することで、DDoS攻撃やアカウント乗っ取り、大量のスパム配信などを実行する仕組みです。感染した端末の所有者も気づかないまま加害行為に加担してしまう点が厄介で、組織や個人を問わず誰もが被害者にも加害者にもなり得ます。だからこそ、日常的なセキュリティ対策と従業員教育を通じて、感染経路を断つことが重要です。
Zscalerのソリューションでボットネット攻撃から守る
ボットネット攻撃は、世界規模で広く展開されているうえ、高度な回避戦術や暗号化通信が用いられています。オープン ソースの亜種が急増し、脆弱な標的が拡大し続けるなか、こうした攻撃は依然として広く蔓延しており、遭遇する可能性の高い脅威となっています。組織のデバイスを安全に保つには、ボットネットの活動を一貫して検出、軽減できるセキュリティが必要です。
Zscaler Internet Access™ (ZIA™)は、クラウド ネイティブ セキュリティ サービス エッジ(SSE)ソリューションです。世界最大のセキュリティ クラウドから提供される拡張可能なSaaSプラットフォームで従来のネットワーク セキュリティ ソリューションをリプレースし、包括的なゼロトラスト アプローチで高度な攻撃とデータ流出を防止します。ZIAを利用することで、ボットネットやC2の活動を検出し、ボットネットを効果的に阻止できるようになります。
- 侵入防止システム(IPS):ユーザー、アプリ、脅威に関するインテリジェンスをコンテキストを含めて提供し、ボットネット、高度な脅威、ゼロデイ脅威に対する包括的な保護を実現します。
- 高度な脅威対策(ATP):ボットネット、コマンド&コントロール トラフィック、危険なP2P共有、悪意のあるアクティブ コンテンツ、クロスサイト スクリプティング、詐欺サイトなどに対する組み込み型の保護機能を提供します。
Zscaler Zero Trust SD-WANは、Zscaler Zero Trust Exchange™プラットフォームを介してIoTデバイスのトラフィックを拠点からプライベート アプリやインターネットへと安全に仲介し、IoTベースのマルウェアのラテラル ムーブメントを制限するとともに、C2サーバーとの通信を制御します。
Zscaler IoT Device Visibilityは、エンドポイント エージェントを必要とせずに、組織全体のIoTデバイス、サーバー、管理対象外のユーザー デバイスを包括的に可視化します。
ZscalerのDLP(データ損失防止)機能は、ボットネットによる不正なデータ通信を検知し、遮断することで、情報漏洩や機密情報の拡散を防止します。ゼロトラストのアプローチに基づき、機密データが組織外部へ流出するルートを管理します。
Zscalerは、ボットネット攻撃における『入口』『出口』『内部』のすべてをゼロトラストアプローチで保護することを目指したソリューションです。従来の対策では対応が難しい巧妙化する脅威に対して、組織を守るための有効な選択肢となります。
Zscalerで実現可能なボットネット対策の詳細にご関心のある方は、Zscalerにお問い合わせ、またはデモにてご確認ください。
免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。
