Internet Watch logo
記事検索
バックナンバー
第10回 rootkit
[2005/12/21]
第9回 ボットネット(BotNet)
[2005/11/10]
第8回 Outbound Port 25 Blocking
[2005/10/13]
第7回 国際化ドメイン名(IDN)
[2005/03/31]
第6回 UWB(Ultra Wide Band)
[2005/02/17]
第5回 脆弱性
[2005/01/27]
第4回 周波数割当
[2005/01/13]
第3回 ドライカッパー
[2004/12/22]
第2回 バックボーン
[2004/12/09]
第1回 FTTH(Fiber To The Home)
[2004/11/24]
ニュースに出るネット用語
第9回 ボットネット(BotNet)

TEXT:佐藤 晃洋

 今回のテーマは「ボットネット(BotNet)」。最近耳にする機会が多いこの言葉だが、あまりよくわかっていない方も多いのではないか。そこで今回は、そもそも「ボット」とは何かという点から、「ボットネット」が抱える問題までをひと通りおさらいしてみたい。


ボット=知らないうちに悪意のあるユーザーに乗っ取られているPC

 まずボットとは何かという点だが、もともとネット業界でボットと言った場合には、文字通りのロボットを指す場合や、Webサーバーを自動的に巡回してWeb上の情報を収集するプログラム(いわゆる「Webロボット」)など、文脈によってさまざまなものを指す。しかし「ボットネット」と言った場合の「ボット」とは、「悪意のあるユーザーによって踏み台として使われる可能性のあるPC」を指すのが一般的だ。

 ボットを仕掛けようとする側は、ウイルスなどを用いてボット用のソフトをばらまき、他人のPCにインストールさせようとする。ボット用のソフトには、外部から特定のコマンドを与えることで、そのPCの挙動を自由に操作できるようなコードが含まれている。しかも、ソフトがインストールされた段階ではそれらの機能は休眠しているため、PCの挙動に見た目の変化はなく、ユーザーもなかなかその存在には気づきにくい。

 このように、PCの所有者が知らないうちに、悪意のあるユーザーに乗っ取られているPCのことを「ボット」と呼ぶ。また、こうした状態で放置されているPCのことを「ゾンビ」と呼ぶ場合もある。

 ボットとして利用できるPCの数が増えてくると、今度は悪意のあるユーザーがそれらのPCに一斉にコマンドを送り、ボットに実際に何らかの行動を起こさせる。あるいは、あらかじめタイマーが設定されており、指定の日時に行動を起こさせる場合もある。どのようなことをPCにさせるのかというと、迷惑メールの一斉送信であったり、特定のサイトへのDDoS攻撃であったりとさまざまだ。何しろ、ボットとなったPCは外部から自由に制御できるのだから、どのようにでも利用できてしまうのだ。

 こうしたボットネットのような考え方は古くから存在したが、実際に問題が表面化したのは2001年に流行した「CodeRed」ウイルスあたりからと言えるだろう。CodeRedに感染したPCは、ホワイトハウスのサイトに対しDDoS攻撃を仕掛けようとした。当時はボットネットという言葉はなかったが、さまざまな場所にある多くのPCを勝手に乗っ取り、ある時間になると一斉に特定のサイトにアクセスを行なうという基本的な要素は、マシンを自由に制御できるという点を除けばまさしくボットネットそのものといえる。

 今や、ボットとして動作するPCの数は全世界で数百万台規模に上るとも言われ、この様子を揶揄して「ボットネットこそ世界最大の分散コンピューティング環境だ」という声も聞かれる始末だ。


より大きな金銭的被害を伴う形態へと進化しつつあるボットネット

 ボットネットはDDoS攻撃や迷惑メールの送信などに利用されてしまうという点で非常に厄介な代物だが、最近ではさらに新たな傾向が出てきている。

 1つは「ボットネットの商用化」だ。ウイルスやワームなどは、以前は一部の技術者達が自分の腕を人に見せ付けるために作成されていたが、最近では実際の金銭を伴う被害をもたらすようになってきている。同様に、ボットネットも以前は一部の技術者達のお遊び、あるいは自らの政治的姿勢を示すために作成されていたものが、最近では構築したボットネットを迷惑メールの配信業者などに売る、もしくは貸し出すという動きが見られているのだという。

 もう1つは「特定の企業や団体を狙ったボットネットの増加」だ。前述したように、ボットネットを形成するには、対象となるPCに対してウイルスを仕掛ける必要がある。そのベースとなるプログラムのコードは、ネット上で流通されているものを一部改変して利用することが多いことから、ボット用のウイルスは大量の亜種が発生する傾向がある。しかし、複数のウイルス対策ベンダーからは「最近の傾向として、特定の企業や団体からしか報告事例のない亜種が増えている」という声が聞かれる。

 これは、ボットネットを仕込む側の目的が、単なる迷惑メールの送信やDDoS攻撃といった目的から、ターゲットとする企業(団体)の情報を盗むなどのより金銭に絡む度合いの大きい目的にシフトしているのではないか、といった声も一部の専門家からは聞かれる。最近では、ある企業を退社した元社員が、退社直前に社内にボットネットを構築し、退社後も自由に社外秘の情報にアクセスできるようにしていたといった事例も登場しているという。また、特定の企業からしか報告事例がない場合は、ウイルス対策ベンダーの側もそれが本当にボットネットかどうか判断に悩むケースも多く、対応も後手に回ってしまいがちだ。

 最近のボットネットは、より広範囲・大規模な被害をもたらすものと、ターゲットとする範囲を絞り深く潜行するものと、大きく2つの方向に分かれつつある。この両方に対応するとなると一筋縄ではいかず、ネットワーク管理者にとっては頭の痛いところだ。

関連記事
“オープンソース”のボットも登場、GPLが付属するケースも(2005/11/01)
国内にも14万台以上のボット感染を確認~警察庁調査(2005/10/25)
「ボットに感染したPCを無料配布している」内田助教授が危惧(2005/10/17)
「ボットは企業内にも存在すると考えるべき」~ラック西本氏(2005/10/04)
国内ユーザーの2~2.5%がボットネットに、防御側も組織的な対応が必須(2005/07/27)


(2005/11/10)

佐藤 晃洋
 1975年北海道旭川市生まれ。某通信事業者での法人営業(という名の現場調査員)を経て、現在は通信・ネットワーク関連を主な専門分野とするテクニカルライター。ついでになぜか煎茶道の師範もやっている。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.