ボットネット

ボットネットはどのように作成されますか?

コンピューターがボット ネットワーク内のボットになるには、ボット ソフトウェアがインストールされている必要があります。明らかに、誰も故意にこのソフトウェアを自分のコンピューターにインストールすることはないため、攻撃者はソーシャル エンジニアリング、フィッシング スキーム、およびその他の手法に頼って、人々をだましてソフトウェアをインストールさせます。

一般的な手法は、フィッシング詐欺を使用することです。これには、ユーザーのシステムにインストールされる添付ファイル付きの電子メールを誰かに送信することが含まれます。アタッチメントがインストールされると、システムに感染します。

ボット ソフトウェアが正規のソフトウェアを装い、機能することさえありますが、バックグラウンドではボットネット内の別のボットにすぎません。

ボットネットの種類

ボットネット上のボットは、悪意のあるアクションを実行するためのコマンドを受信する必要があります。これらのコマンドのソースは、コマンド アンド コントロール サーバーまたは C&C サーバーです。このサーバーから、ボット ラングラーはネットワーク上のボットにコマンドを送信します。ボットネットのアーキテクチャには主に 2 つのタイプがあります。

集中型ボットネット

集中型ボットネットは、1 つのサーバーを使用して、ボットネット上のすべてのボットにコマンドを送信します。これはボットネットの古いモデルであり、単一障害点があるため、現在はあまり使用されていません。

IRC ボットネットは、最も初期のタイプの集中型ボットネットの 1 つです。ボット ハーダーは IRC チャネル経由でコマンドを送信し、ネットワーク上のボットはチャネルに接続してコマンドを待ちます。

HTTP ボットネットは、HTTP サーバーを使用してコマンドを送信します。これらのボットネット上のボットは、定期的にサーバーに接続してコマンドをチェックします。これらのボットは、そのアクティビティを通常のインターネットトラフィックとしてマスクすることができます。

分散型ボットネット

分散型ボットネットはピアツーピアモデルを使用します。このタイプのボットネットにはコマンドアンドコントロールサーバーが1つしかありませんが、サーバーはボットネット上の1つのボットにのみ接続して、すべてのボットにコマンドを送信する必要があります。各ボットはクライアントとサーバーの両方として機能し、コマンドサーバーから送信されたコマンドをボットネット内のすべてのデバイスに伝播します。

ボットネットは何に使用されますか?

ボットネットの構築には時間がかかりますが、多くの処理能力を詰め込むことができます。ボット ヘルダーは、ボット ネットワークが提供するこの処理能力と匿名性を、単一のデバイスからは実行できない悪意のある行為に使用します。時には、独自のネットワークを構築するための技術的スキルセットを持たない闇市場で他の人にネットワークを販売または貸し出すこともあります。

DDoS攻撃

分散型サービス拒否 (DDoS) 攻撃は、ボットネットの最も一般的な用途の 1 つです。DDoS 攻撃は、ボットネットの大規模な脆弱性を利用して、大量のリクエストでネットワークまたはサーバーに過負荷をかけます。これにより、サーバーがクラッシュし、正当なトラフィックがブロックされる可能性があります。DDoS 攻撃は通常、身代金を伴う場合、個人的な理由、政治的理由、経済的理由によって動機付けられます。

スパムメール

最近では、メールスパマーになるのは難しいです。しかし、ボットネットが電子メールを送信するために提供する数百または数千のIPアドレスがある場合は、より簡単です。スパムを送信するブラックリストに登録される可能性ははるかに低くなります。

金融侵害

ボットネットは資金やクレジットカードの詳細も盗んでいます。ボット ハーダーは、コンピューターのネットワークにソフトウェアを感染させて情報を盗むことで、何千人もの無防備な人々の財務情報を数分で収集できます。

暗号通貨マイニング

ビットコインのような暗号通貨を生成する「マイニング」プロセスには、多くの処理能力が必要です。場合によっては、結果として得られる暗号通貨の価値よりもマイニングに電気代がかかる場合があります。ボット ハーダーは、ボットネットを使用して暗号通貨を無料でマイニングできます。

ボットネットからネットワークとデバイスを保護する方法

システムやネットワークをボットネットから保護するには、2つの側面があります。一方では、ネットワーク上のデバイスがボットネットのボットになるのを防ぎたいと考えています。他方では、ボットネットの標的になりたくないのです。システムを保護する方法をいくつか紹介します。

• ウイルス対策ソフトウェアとマルウェア対策ソフトウェアは、ネットワークに接続するデバイスの要件である必要があります。最新のウイルス対策ソフトウェアを使用すると、ネットワーク上の他のデバイスに感染する前に、感染したデバイスから脅威を検出して削除できる可能性があります。
• サーバーとオペレーティング システムは最新の状態に保つ必要があります。攻撃者がデバイスを制御する一般的な方法は、オペレーティング システムの既知の欠陥を悪用することです。システムに定期的にパッチを適用することで、これらのセキュリティホールが取り除かれます。
• 信頼できないサイトからファイルをダウンロードしたり、予期しないメール内のリンクをクリックしたりしないように、ユーザーを教育します。フィッシングスキームは、ボットネットの最も一般的な攻撃ベクトルの1つです。
• ファイアウォールを使用します。ファイアウォールは、正しく設定されていれば、ボットネット感染と DDoS 攻撃の両方を防ぐのに役立ちます。ファイアウォールは、悪意のあるサイトの閲覧をブロックし、トラフィックの急増がボットネット攻撃のシナリオに適合するタイミングを検出し、ネットワーク呼び出しをスロットルできます。
• マイクロセグメンテーションは、ボットネット感染やボットネット攻撃を防ぐための非常に効果的な方法です。マイクロセグメンテーションは、ネットワークの各部分をワークロードレベルまで分離し、マルウェアの横方向の移動や不正なトラフィックの移動を防ぐことができます。
• ネットワークエッジでクラウドベースのDDoS保護を適用することで、攻撃がネットワークに影響を与える前に防ぐことができます。

Conclusion

ボットネットは、今日企業が直面している最も深刻な脅威の1つです。ボットネットは、マルウェアに感染したコンピューターのネットワークであり、ボット ハーダーによって中央の場所から制御され、悪意のある理由で特定のターゲットに向けられます。ボットネットの処理能力と匿名性により、ボットネットは危険です。

ウイルス対策ソフトウェア、定期的なアップデート、セキュリティ教育、ファイアウォール、マイクロセグメンテーション、クラウドベースのDDoS保護により、ネットワークとデバイスをボットネットから保護できます。

詳細情報

イルミオゼロトラストセグメンテーションプラットフォームがマルウェアの拡散をどのように阻止するかをご覧ください。