ボットウイルスとは｜感染経路6つ、被害6種類、対策を解説

“ボット“について詳しく知りたいと思って、この記事をご覧いただいているかと思います。
ボットには無害なボットと悪いボットがあります。本記事ではボット全体について、特に悪いボットの特徴、6つの感染経路、ボットに感染したときの6つの被害について事例を織り交ぜながら解説します。
最後に対策、駆除方法も書いていますので、興味ある部分を読んでいただき、セキュリティ リテラシーをさらに高め、知識の幅を広げていただければ幸いです。

1．ボットとは？

ボット（Bot）という言葉はロボット（Robot）から来ています。このボットには大きく2種類あります。

1-1．無害なボット

無害なボットはインターネット上で決められた一定の作業を自動的に行うプログラムです。
プログラムされた作業の例には以下のようなものがあります。

• 検索エンジンのクローラ
• Twitterに自動的につぶやきを行うボット
• チャットにて自動的に会話するボット
• ネットワークゲームにて自動的にプレイするボット

Twitterで自動的につぶやくボット

1-2．ウイルス性のあるボット

悪質なボットはマルウェアの一種でパソコンに侵入し、外部からパソコン、スマートフォンを遠隔操作します。サイバー犯罪者はパソコン、スマートフォンを操り、悪質なことを行います。

ボットはウイルス/トロイの木馬/ワームに分類されるマルウェアの一種です。

ボットの種類によりますが、感染した事に気付かれないように密かに活動するケースが多いので、そのほとんどがトロイの木馬に分類されます。稀にワームの感染形態を持つボットも存在します。

マルウェアについて知りたい方はマルウェアとは？ウイルスとの違いや侵入経路についてをご覧ください。

本記事ではサイバー犯罪者たちが利用する悪質なボットについて解説します。

2．ウイルス性のある悪質なボットの特徴とは

悪質なボットの特徴は、感染したコンピューターが犯罪者の手足となり、知らないうちに犯罪に加担させられてしまうことです。

まずボット(多くの場合トロイの木馬)がパソコンに侵入したら、そのパソコンは外部から遠隔操作されます。ボットに侵入されたパソコンを「ゾンビPC」、「ゾンビマシン」と呼びます。

次に、「ゾンビPC」がたくさん集まったネットワークをボットネットといい、外部からの指令によって一斉に操られます。

ボットネットの司令塔となるサーバーをC&C（コマンド・アンド・コントロール）サーバーと言います。

この司令塔C&Cサーバーの命令で感染している数多くのゾンビPCが一斉に動きます。それぞれのPCの処理速度は小さくとも、数をたくさん集めることにより、超高性能コンピューターを持ったようなパワーを犯罪者は得ることができます。具体的なボットネットの規模は数十万台から大きいもので約200万台のものが過去に報告されています。

何十万台のコンピューターを束ねたパワーを利用して、犯罪者たちは大量のコンピューターだからこそできるスパムメールの大量送信、DDos攻撃、広告詐欺、仮想通貨の採掘を行います。
さらに手足となったコンピューターにオンラインバンキングを狙った金融詐欺、司令塔からゾンビPCに対して、さらにマルウェアを送り込むこともできます。

アンダーグラウンドでは構築済みのボットネットのレンタルや、ボットネット自体の売買が行われています。

犯罪者にあなたのPCを知らないうちに握られてしまうのがボットの怖いところです。

3．6つのボット感染経路

ボットはパソコン、スマートフォンに侵入すると静かに潜みます。そしてC&Cサーバーの指令をじっと待っています。司令が下っても処理速度を下げるほど重い処理をするわけではないので、ボットに感染していることに気付く事はほぼ不可能です。

では、ボットがパソコン、スマートフォンに侵入する6つの経路を紹介します

3-1．迷惑メールの中のリンクから感染

送られてきた迷惑メール中のリンク先に、アクセスするとマルウェアに感染する感染経路です。

使い古された攻撃手段ではありますが、未だメールのクリックによる感染事例は後を絶ちません。

事例としては、Trojan.Pandexというスパムボットに感染したコンピューターが送るメールが以下です。このメール内のリンクにクリックすると、Webページにアクセスし、そこでマルウェアに感染してしまいます。

リンク先にマルウェアを仕込んでいるメール

3-2. SMSの中にあるリンクをクリックして感染

スマートフォンのSMS(ショートメッセージサービス)から感染する感染経路です。

事例として、 Android.PikspamというボットはSMSに人気ゲームの無料版のお知らせ、賞金獲得の偽メッセージを送り、メッセージにあるリンクをクリックすると、ボットが仕込まれたアプリがダウンロードされるという手口を使って感染させました。

やっかいなのは、アプリをインストールしたと思ったらボットも知らないうちにインストールされてしまうことです。

ボット Android.Pikspamが仕込まれたアプリのアイコン

3-3．非公式アプリマーケットにあるアプリからの感染

アプリをダウンロードできるマーケットからボットが仕込まれたアプリをダウンロードして感染するケースもあります。

事例として、中国で最大100万台のデバイスに広がったモバイルボットネット“MDK ボットネット”です。中国のGoogle Playではない非公式なアプリマーケットで見つかっています。人気ゲームなどの正規アプリにマルウェアを入れて、再パッケージをして非公式アプリマーケットでダウンロードを誘うという手口を使っていました。

仮に有料アプリが無料だからといって公式アプリマーケット以外のサイトからダウンロード・インストールすることはあなたのスマートフォンを危険にさらすことになります。

3-4．Webページを介してファイルをダウンロードしたときに感染

インターネット上でシェアされているファイルをダウンロードすると感染する感染経路です。

事例としては、中東で使われていたnjRATというボットがありました。ファイル共有サイトge.tt にボットを置いて感染させたケースがあります。犯罪者はスクリーンセーバーとボットを併せて圧縮したファイルをサイトにおきます。

ユーザーがダウンロードして、ファイルを解凍すると感染するという手口です。

3-5．改ざんされたWebサイトにアクセスすることで感染

アプリをダウンロードしてインストールなどのアクションを伴わず、本当に知らないうちに感染してしまうケースです。

犯罪者は脆弱性のあるWebサイトに侵入してボットを埋め込んだり、感染させるためのWebサイトを自ら用意する必要があるため、攻撃する側のハードルは多少高いと言えます。

しかし、脆弱性のあるパソコンでボットが埋め込まれたWebサイトにアクセスするだけでパソコンにボットが勝手にインストールされるドライブバイダウンロードの攻撃手法を用いることにより、多くのボットをばら撒くことができます。

少々古いですが、WindowsとMacの事例を2つ紹介します。ただ、古いと言えども脆弱性や人間の性質を狙った攻撃手法は現在でも有効であるため、知っておくに越したことはありません。

事例 1:

2012年にOSX.Flashbackというボットが多くのMacに感染しました。

犯罪者はWordpress と Joomla を使う脆弱な Web サイトにボットを埋め込み、脆弱性のあるJavaを使っているMacユーザーを標的にし、WebサイトにアクセスしてきたMacに次々とボットをインストールしました。

当時、Javaのその脆弱性が分かってから修正プログラムが出るまで6週間の時間がありました。
その6週間の間に犯罪者は大量のMacにボットを感染させたのです。

事例2:

ボットネットBamitalは主にアダルトサイトにアクセスした人たちのコンピューターにボットを感染させていました。ボットを埋め込んだサイト数は35を超えていました。

この事例のように、以前はアダルトサイトなどが主な感染経路となっていましたが、今日の犯罪者たちは脆弱性のある大手企業Webサイトにマルウェア、ボットを埋め込むことを狙っています。一般的に大企業などの有名サイトに対しては警戒感が薄く、かつ安定した訪問数が見込めるケースが多く、インストール台数を必要とするボット拡散に効率的だからです。

誰もが知る大企業のWebサイトにアクセスしただけでボットが知らない間にインストールされる、といった可能性もゼロではない事を知っておくだけでも感染の可能性を下げる事ができます。

3-6.　クラウドストレージやP2Pネットワークにあるファイルをダウンロードして感染

クラウドストレージやピアツーピア（P2P）ネットワークに別の有用なアプリなどに偽装したボットを置き、それを騙してインストールさせることによる感染を狙います。

偽装したボットをダウンロードしてもらうために、迷惑メールやSNSなどが用いられるケースがあります。

4．ボットに感染した場合の6つの被害

ボットに感染した被害としてはじめに伝えたいことは、感染したパソコン、スマートフォンが犯罪者の意のままに操られてしまうということです。

言い換えると、感染コンピューターの持ち主の知らないうちに、コンピューターのパワー、通信、電源を犯罪者に使われてしまうのです。

さらにひどいことは、感染したコンピューターの持ち主が知らぬ間に犯罪に加担しているということです。

ここでは、犯罪者たちがボットネットを使って何をするのかを紹介します。

4-1．DDos攻撃に加担させられる

DDoS攻撃とは、標的とするサーバー・Webサイトに対して、たくさんのコンピューターから一斉にアクセスをして、サーバー・Webサイトがサービスをすることを妨害する攻撃です。

ボットネットを利用したDDoS攻撃とは、ボットに感染したコンピューターたちはC&Cサーバーの指令によって、いっせいに標的のコンピューターにアクセスをすることでDDoS攻撃ができます。

今では、大規模なボットネットでなく、小規模なボットネットからのアクセスを増幅することでDDos攻撃ができます。DDoS攻撃も進化していると言えます。

さらに困ったことにアンダーグラウンドのフォーラムでは、DDoS攻撃を行うサービスが$2～$500で販売されている事実があります。

アンダーグラインドマーケットで販売されているDDoS攻撃のメニューと価格

4-2．迷惑メールの送信元にさせられる

ボットに感染したコンピューターはC&Cサーバーの指令により、迷惑メールを送信させられます。

さらに、コンピューターに登録しているメールアドレスをC&Cサーバーに吸い上げられるケースもあるため、知らないうちに迷惑メールを送信していると同時に、自分の連絡先情報も取られてしまうというひどい手口です。

事例としては、2013年6月に活動を再開したWaledacは1日に2000通の迷惑メールを送るスパムボットです。

Waledacが1日2000通送っていた迷惑メール

Waledacは迷惑メールを送るだけでなく、別のマルウェアも拡散していました。
サイバー犯罪者も迷惑メールを送るボットを入り口に利用し、複数のマルウェアを使って、さらに悪事を働くケースもあります。

4-3.　広告を勝手にクリックする

C&Cサーバーの指令でオンライン広告バナーなどを感染したパソコンからクリックをします。

広告をクリックすることにより広告の掲載サイトには報酬が発生します。
広告主には意味のないクリックがたくさん増え、本来の目的の見込み客の集客ではなく、広告費だけを支払うはめになります。

事例1:

ボットネットBamitalは6週間の間に180万以上のサーバーと通信をし、1日に平均300万クリックをしていたことが確認されました。

事例2:

Macに大量感染したOSX.Flashbackは3週間で1,000 万回広告を表示し、約40万回の広告クリックをしました。 3週間の広告クリック数から犯罪者は 14,000ドルを稼いだことになります。

この手口もまさにボットネットの規模を利用した詐欺の手口です。

4-4．感染したデバイスに広告を表示させる

ボットに感染したパソコン、スマートフォンに悪質な広告を表示させます。

事例としては、2013年6月に活動を再開したWaledacは、感染したパソコンに、さらにマルウェアを感染させます。

そのマルウェアは、感染したコンピューターの情報をC&Cサーバーに送信して、侵入したコンピューターを登録します。それに加えて、検索エンジンの検索結果に悪質なポップアップ広告を表示しクリックさせるクリック詐欺を実施します。

ポップアップ広告の例

4-5．脆弱性のあるWebサイトの調査に加担

犯罪者が侵入して、個人情報、機密情報などを盗み出すために、脆弱性のあるWebサイトを探します。
脆弱性のあるWebサイトを探すためにボットネットを利用する犯罪者がいます。
具体的なやり方としては、下の2ステップです。

1. ボットに感染したコンピューターにあらゆるWebサイトにアクセスさせ、Webサイトに脆弱性が無いかを調べさせる
   
   
2. 脆弱性のあるWebサイトが見つかると、ボットはC&Cサーバーに報告をします

事例としては、2014年8月にロシアのサイバー犯罪グループが12億件のユーザー名とパスワードを盗んだニュースがありましたが、このサイバー犯罪グループが、このような形でボットネットを利用していました。

脆弱性が見つかったWebサイトは後日、攻撃を仕掛けられ、データベースからユーザー情報を盗まれました。

4-6．仮想通貨の採掘のためにパソコンを使われる

ビットコインをはじめとする仮想通貨は実際のお金と同様に使用する事ができます。そして、その仮想通貨を入手する方法はの1つに採掘（マイニング）があります。

採掘とは自分のコンピューターに処理をさせて仮想通貨を入手する方法です。

多くの場合、コンピュータの処理速度が高ければ高いほど多くの仮想通貨を採掘することができます。仮想通貨の代表格であるビットコインは一般消費者が持っているデスクトップコンピュータ1台では全くマイニングできない(稼げない)のが現状です。

犯罪者はボットネットを使うことで、ゾンビPC全てのパワーを使ってビットコインなどの採掘をすることができます。

事例としては、ボットネットZeroAccessは2013年8月の時点で190万台以上のコンピューターのネットワークを持っていました。一度に全てのコンピューターが利用できるとは限りませんが、これらのコンピューターを使ってビットコインの採掘をやらせることをしていました。
犯罪者はボットに感染した他人のコンピューターのパワーと電気を使って採掘をしていたのです。

5．対策および駆除方法

5-1. 体験版でウイルスチェック

最初にやることは無料体験版でも良いので有名な有料のセキュリティソフトを入れてチェックすることです。

なぜならば、Windows Defenderをはじめとする無料のセキュリティソフトは最低限の機能しか搭載されていないものもあり、状況によっては有料のものでしか駆除できないものがある可能性があるからです。

実際、仮に駆除できなかったとしても、(ウイルスバスター以外は)それぞれ最適化されたファイアウォールを搭載しており、Windowsの内部から外部に向けての通信を監視しているため、無料ソフトと比べて大切な情報が盗まれる可能性は低いと言えます。(ウイルスバスターはWindows標準のファイアウォールをチューンすることでほぼ同様の機能を実現しています)

以下が無料体験版を用意している代表的なセキュリティソフト一覧です。これらの有料版セキュリティソフトは期限内であればどの製品も有料版と同様の機能が無料で使用できます。(各社仕様が変更になる可能性はありますので、その点はご注意ください)

5-2. 感染のリスクを軽減する方法

• 評価の高いセキュリティソフトウェアをインストールする
• OSと使用しているソフトウェアの設定を自動更新にして、常に最新状態にしておく
• ブラウザのセキュリティレベルを高く設定する
• 送信元が不明な添付ファイルは決して開かない
  
  

6. まとめ

ボットに感染してしまうと、自分のパソコン、スマートフォンが犯罪者の手足になってしまうのがボットの怖いところです。

多くの場合、トロイの木馬として感染するボットは密かに動くため、セキュリティソフト無しで感染している事に気付くのはほぼ不可能です。犯罪者は注意深く感染された事を悟られないようにボットを働かせ、そして感染してしまった被害者は自分の知らないところで反社会的な事に力を貸す加害者の一人となります。

犯罪者に勝手に自分のパソコンやスマートフォンが使われるのも嫌ですが、なにより犯罪の片棒をかつぐような事も誰もしたくはないと思います。

インターネットを利用する以上、このようなリスクは誰にでも起こり得ます。しかし、この記事で述べた知識の有無はボットの感染から必ずあなたを守ってくれることでしょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。