ボットネット

ボットネットとは何か?

ボットネットとは、ロボットネットワークの略で、マルウェアに感染したコンピュータのネットワークであり、ボットハーダーと呼ばれる攻撃者によって遠隔操作されています。ボットハーダーは、侵害されたデバイス(ボット)を活用し、キー入力やパスワードなどの機密情報を取得することで、大規模な攻撃を指揮します。ボットは、ネットワークをクラッシュさせたり、データを盗んだり、さらにマルウェアを注入して脆弱性をさらに拡大させるなど、複数の悪意のある活動を同時に実行するために乗っ取られます。

ボットネットの仕組み

ボットネット攻撃は通常、次のようなアクションを実行する:

脆弱性の特定

脅威行為者は、ウェブサイトやアプリケーション、ユーザー行動の脆弱性を見つけてボットネットを構築する。彼らはソフトウェア内のセキュリティ欠陥を悪用し、電子メールやその他のオンライン媒体を通じてマルウェアを配信します。 

感染症

脅威行為者は、ソーシャル・エンジニアリング戦術を採用したり、ドライブバイダウンロードを使用したりして、ユーザーを操作し、デバイスがボットネット・マルウェアに感染して危険にさらされるような行動を取らせる。 

アクティベート

感染した各デバイスは制御され、リモートで管理されるボットのネットワークに編成される。ボットハーダーのコマンド&コントロールサーバーが中央ハブとして機能し、ボットネット全体に指示を与えます。2つの制御モデルのいずれかが採用されます:1)ボットハーダーと感染した各コンピュータ間の直接通信を含む集中型モデル、または2)感染したすべてのボットネットデバイスを接続する複数のリンクを持つ分散型システム。 

ボットネット攻撃の種類

脅威者はボットネットを活用してさまざまな悪意ある活動を行っている:

DDoS攻撃: DDoS攻撃では、ボットネットが標的となるサーバーやアプリケーションをクラッシュさせるために圧倒的なリクエストを送信します。このような攻撃は、個人的または政治的な動機で組織を標的にしたり、攻撃を停止する代わりに支払いを強要したりします。 

電子メールスパムとフィッシング: 脅威者は電子メールスパムを利用してマルウェアを配布し、フィッシングキャンペーンを展開してログイン認証情報などの機密情報を盗み出します。

情報窃盗: ボットネットの多くは、攻撃者がクレジットカード情報や企業資金などの機密データを盗むことを可能にする。 

バックドア侵入: 脅威行為者は、小規模なボットネットを使用して、組織の特定の高価値システムを標的とし、侵害することで、ネットワークに侵入し、侵入を拡大することができます。バックドア侵入は非常に危険で、財務データ、研究開発、知的財産、顧客情報などの貴重な資産を狙います。 

システム妨害: システム妨害攻撃は、標的となるデバイスを感染させ、その動作を妨害する。ボットネット攻撃は、マルウェアを使用してデバイスを破壊し、その存在を示すすべての証拠を削除することで、マルウェアが検出されないようにします。 

ボッテント・オペレーションの例

ボットネットは通常、多層スキームの侵入段階です。ボットネットは成長し、自動化され、これらの注目すべきボットネット操作のような、より重大な攻撃を実行する能力を加速させます: 

ゼウス

2007年以来、Zeusマルウェアはフィッシングメールやスパムメール、悪意のあるダウンロードを通じて被害者に感染してきました。長年にわたり、このマルウェアの進化は様々なバージョンを生み出し、2011年には世界中で約100万台のコンピュータを感染させるGameOver Zeusボットに至りました。 

カットウェイル

2009年、Cutwailボットネットは、コンピュータシステムを悪用する大規模なスパムキャンペーンに使用され、古いソフトウェアやパッチが適用されていないセキュリティ上の欠陥などの脆弱性を狙いました。その間、世界の総スパム量の最大46.5%を占め、毎分5,100万通のメールを送信し、約150万個のボットで構成されていました。

ミライ

2016年、Miraiボットネット攻撃は、ドメインネームシステム・プロバイダーのDynを標的とし、米国全土に広範なインターネットの混乱をもたらした。この攻撃には10万を超える悪意のあるエンドポイントが関与しており、IoTデバイスを感染させた最初の大規模ボットネットとなった。

ボットネット攻撃を防ぐには

組織は、ボットネット攻撃を防御・防止するために、さまざまなサイバーセキュリティ対策を実施することができる。

1.定期的なソフトウェア・アップデート

ボットネットは多くの場合、ソフトウェアの脆弱性を悪用しますが、効果的なパッチ管理によって修正することができます。ソフトウェア、オペレーティング・システム、およびデバイスに定期的にパッチとアップデートを適用することは、ボットネットへの侵入を軽減するために不可欠です。 

2.侵入検知防御システム

ネットワーク侵入検知防御システム(IDPS)は、ネットワーク・トラフィックを監視し、不審なアクティビティを特定してブロックします。IDPSソリューションは、シグネチャベースの検出と異常ベースの検出技術を使用して、ネットワークセキュリティを強化し、データ侵害から保護します。

3.エンドポイントセキュリティ

堅牢なエンドポイント・セキュリティ・ソリューションを導入することで、悪意のあるネットワーク・トラフィックを検出してブロックする高度な脅威検出技術を採用し、ボットネット感染をはじめとするさまざまなサイバー脅威からデバイスを保護することができます。 

4.セキュリティ意識向上トレーニング

定期的なセキュリティ意識向上トレーニング・プログラムにより、脅威者が悪用するソーシャル・エンジニアリングの手口についての認識を高めることができます。攻撃を防止し、サイバーに強い企業文化を醸成するためには、従業員に最善のセキュリティ対策を教育することが不可欠です。

CylanceGUARD ランサムウェア対策

人間中心のサブスクリプション・ベースの24x7x365マネージド・ディテクション&レスポンス・サービスとして、 CylanceGUARD®CylanceGUARD は、ランサムウェア攻撃を防止・防御するために企業が必要とする専門知識とサポートを提供します。 BlackBerry Cybersecurity Servicesを通じたAIベースのエンドポイントプロテクション(EPP)と組み合わせています。 CylanceENDPOINT.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーをビジネスに提供します。
詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース