先日からコンピュータウイルス(マルウェア)についての知識と題して記しております。
今回はボット編です。このマルウェアのターゲットはパソコンだけではありません。危険なマルウェアです。どんなものか覚えましょう。1.ボットとは何?
ボット(Bot)という言葉はロボット(Robot)から来ています。本来、ボットはインターネット上で決められた作業を自動的に行うプログラムのことを言います。よく耳にする検索エンジンのクローラ(インターネット上を巡回し、インデックスを作成して検索のリンクを作るプログラム。これによりブログやホームページなどが検索で結果表示ができあmす。)やTwitterに自動的につぶやきをするもの、また、ネットワークゲームにて対戦相手として自動的にプレイするプログラムなどを言います。
しかし、マルウェア上でのボットと呼ばれるものはいわゆる「あやつり人形」で外部からパソコンやスマートフォンに侵入し遠隔操作をしながら、悪質なことを行います。ボットは先日説明したバックドア型プログラムの一種となります。
2.ボットは危険なの?
ボットマルウェアは通常は感染させるだけで活動を行いません。ネットワークにある端末すべてに感染します。パソコンはもちろんのこと、スマホ、ルーター、テレビ、プリンターすべてに感染します。
これらの感染されたへネットワークを「ボットネット」と呼び、ボットに侵入されたパソコンを「ゾンビPC」、「ゾンビマシン」などと呼びます。
通常は感染されただけでは活動を行わないので、感染されているかどうかわかりません。
ではどの段階で活動を開始するのか?
外部から指令があった時にボットネット上のボットは一斉に活動を開始するのです。その司令塔となるサーバーをC&C(コマンド・アンド・コントロール)サーバーといいますが、このC&Cサーバーから命令がネット上に送られると感染しているボットが一斉に活動を行い始めます。
なぜこのようなことをするのかと言いますと、特定のサーバーに大きな攻撃を行う場合、当然大きな処理能力が必要になります。相手はサーバーですからスーパーコンピュータ並みの処理能力を持っています。当然それに対抗するには攻撃側もスーパーコンピュータ並みのハードウェアが必要になってきます。ただし、攻撃を行うためにそんなマシンを用意していたら採算が取れません。そこで攻撃元を分散化させて一斉に攻撃を行えば、小さな処理能力でも数が多くなればスーパーコンピュータ以上の攻撃ができます。これによってDDos攻撃やスパムメールの大量送信、広告詐欺をおこないことが出来、最近では仮想通貨がの相場が上がったことにより、仮想通貨のマイニングも行われるようになりました。また、このボットを行うことにより、オンラインバンキングを狙った金融詐欺も行うことができます。また、同時にボットネットからほかのネットワークへボットなどのマルウェアも送り込むことができます。
過去にこのボットによる被害事件があった時、具体的な感染されたボットネットの規模は大きいもので190万台以上のものがあり、世界中で混乱となったこともあります。
3.なぜボットの種類は増えているの?
マルウェアというのは以前に説明した通り、プログラムの一種であり、作成者が存在します。
なぜ、ボットの種類が増えているのかというと、この攻撃が最近のマルウェアの「トレンド」だからです。この攻撃が現在では強力かつ流行りの攻撃であり、現に地下ネットワーク(アンダーグラウンド)の世界では作成されたみのボットプログラムの販売や感染されたボットネットのレンタル、さらにはボットネット自体の売買も行われています。
犯罪者はすでに構築されたボットネットを買い取り、さらにボットを感染させ、取引を行っていいるのです。
感染者は感染されたネットワークが取引されていることはわかりません。それが恐ろしいことなのです。そのため、事件があった場合に感染されて攻撃を行わなくても「犯罪者」扱いにされてしまいます。
4.ボットはどこから感染?
ボットネットの感染経路は大きく6つあります。
A.メールの中のリンクから感染
迷惑メールのリンク先感染します。ボットの場合添付ファイルからの感染でありません。リンクをクリックしただけで感染します。
迷惑メールのリンクの場合、表示されているリンク先のアドレスと実際のメール先のアドレスが違っています。また、リンク先のアドレスをO(オー)を0(ゼロ)に変えたり、l(エル)を1(いち)に変えたりといった見た目上の巧妙な手法も行っています。B.スマホのSMSなどのショートメッセージのリンク先から感染
SMSなどでアプリを紹介し、ユーザーがそのリンクをクリックしてアプリをダウンロードするとアプリと一緒にボットもダウンロードされ、感染されてしまいます。この場合、ユーザーがボットに感染されたというのがわかりません。
C.公式のアプリストア以外の非正規リンクのアプリから感染
日本の場合、スマホのアプリをインストールする場合ほとんどは公式のアプリストアからダウンロードを行いますが、海外では非公式のリンクからアプリをダウンロードするのが多く、これによボットに感染するケースがよくあります。この場合人気アプリにマルウェアを仕込み、再パッケージが行われており、Bの事例同様アプリをインストールするとアプリと一緒にボットもインストールされてしまいます。これにより、中国などでは最大100万台の端末がボットに感染されました。
特に有料アプリがこのリンク先でダウンロードを行うと無料になるといった手口が多く、そのリンク先が非公式のものであり罠にはまってしまいます。D.インターネット上でファイルをダウンロードと同時に感染
ファイル共有サイトからのダウンロードで、正規のVectorなどのサイトからのダウンロードではなく、ファイルホストの共有サイトなどからのダウンロードで感染されるケースがあります。特に掲示板などに貼られているリンクからダウンロードを行い、ボットに感染したというケースがよくあり、これによる被害も多発しております。
E.ウェブサイトを見ただけで感染
この場合、ユーザーは感染されていることに全く気付きません。悪意のあるユーザーはWeb上の内部のプログラムにボットを埋め込みます。ホームページが表示されたと同時にボットに感染させるようにするものです。
このウェブサイトの場合、昔はアダルトサイトなどアンダーグラウンド的なサイトが多く占めていましたが、最近では企業や政府関係の公式のWebがターゲットとなっており、とくに人気のあるサイトや使用する需要のあるサイトが狙われています。 F.P2Pネットワークにあるファイルをダウンロードして感染
ピアツーピア(P2P)ネットワークの一部ボットが感染しており、そのネットワークが使用されたときにファイルと一緒にボットがダウンロードされるいうケースです。最近ではP2Pネットワークのファイルのダウンロードは著作権の問題などから警察などの監視が強化されており、それに伴い使用するユーザーも少なくなりましたが、依然として海外ではまだP2Pネットワークを使用してのファイルのダウンロードは多く行っており、感染被害も拡大しております。
5.感染されているかどうか見分けるには?
感染されているかどうか見分けるには一番早いのはネットワークの動きを見ることで。ウェブも使用していなく、ファイルもダウンロードを行っていないのに、ルーターのデータの送受信は頻繁に起こっている場合や、インターネットを使用していて、何かほかのデータ送受信のおかげで表示などが重たい、また、パソコンやスマホなどの送受信量がべらぼうに多くなっている場合は要注意です。ボットの場合はともかくデータの送受信を頻繁に行います。変だと思ったら一度セキュリティソフトでスキャンチェックを行ってください。またスマホにも必ずセキュリテシソフトを導入しましょう。
コメント