すべてのウイルスの特徴をもつ「ボットウイルス」に感染すると、攻撃者にパソコンを遠隔操作されてしまいます。すると情報漏えいや破壊だけでなくサイバー攻撃に加担させられ、犯罪者にさせられることもあります。
恐ろしいボットウイルスについて、他ウイルスとの違いや被害内容、感染経路、症状、対策まで解説します。
ボットウイルスとは?
ボット(bot)とは、コンピュータウイルスの一種です。感染するとパソコンやスマートフォンを攻撃者に遠隔操作され、乗っ取られてしまいます。情報の盗み出しや迷惑メール送信など、様々な攻撃をおこないます。(バックドア型不正プログラム)
感染すると外部から命令が来るまで待ち、命令されると攻撃を実行します。このような動きが人の代わりに作業をする機械の「ロボット(ROBOT)」に似ているため、ボットと呼ばれています。
ボットに感染したパソコンは「ゾンビパソコン」、ボットを操る攻撃者は「ハーダー(Herder:羊飼い)」と呼ばれます。
感染したパソコンに命令を出すためIRC(Internet Relay Chat:インターネットでチャットをする機能)を使うこともあり、IRCボットと呼ぶこともあります。
ボットウイルスと他のウイルスの違い
ボットウイルスの怖さは、すべてのウイルスの特徴を持ち、「どんな攻撃もできる」ところです。遠隔操作で自由にコントロールされるということは、「何でもされてしまう」ということです。
パソコンに潜伏して活動する点はトロイの木馬やスパイウェアと似ていますが、他のウイルスに比べ、ボットウイルスにはこんな悪質な点があります。
他のウイルス
攻撃の目的
感染したパソコン自体に被害を与える
攻撃・活動内容
すぐに攻撃を始め、何らかの症状が出ることも多い。セキュリティソフトですぐに対応しやすい
ボットウイルス
攻撃の目的
感染したパソコンを悪用して大量のパソコンに被害を与え、より多くの攻撃をする
攻撃・活動内容
攻撃者に操られ、あらゆる動きをする(=すべてのウイルスの特徴を持つ)
1. 不正サイトやメール、脆弱性から感染する
(ウイルス、ワームの動き)
2. 気づかれないように外部接続するための裏口を作る
(トロイの木馬、バックドアの動き)
3. パソコン内の情報を外部に送信する
(スパイウェア、キーロガーの動き)
◆命令されるまで活動しないため、感染に気づきにくい(潜伏活動)
ボットは、自身が作成したファイルやプロセスを隠す機能を持っています。そして攻撃用のパケットを少しずつ送信し、通常の通信と見分けがつかないようにしています。
◆攻撃者にパソコンを遠隔操作され、知らないうちにサイバー攻撃に加担させられる
被害者と同時に、加害者にもなる恐れがあります。実際に誤認逮捕事件も起きています。
◆ボットネットワークを作り、他のパソコンに感染を拡大する
対策のため指令サーバを閉鎖させても、すぐに別のボットが指令サーバとなり、ボットネットを動かし続けることができます。攻撃者にとっては理想的なシステムです。
◆自己更新の機能をもっている
攻撃者の指示に従い、様々なモジュールをダウンロードしたり、形を変えたりします。(フィッシング詐欺用の偽サーバ、スパム中継用のプロキシサーバなどに変化する)
◆ソースコードが公開されていて、亜種がどんどん作られる
誰でもカスタマイズして利用できるものが、検索エンジンで手に入れられます。
◆セキュリティソフトの対応が間に合わないことも
ボットウイルスは感染~活動開始までに時間がかかるので感染が発覚しづらく、セキュリティソフトの更新対応が間に合わないこともあります。
さらにボットは形を変えたりカスタマイズされたりするので、対応してもすぐに新種があらわれ、いたちごっこの状態になっています。
ボットはどのように攻撃をおこなう?
1. パソコンに侵入したボットが、インターネットを通して指令サーバ(C&Cサーバ:Command and Controlサーバ)に接続し、感染したパソコンをたくさん集めたネットワーク(ボットネット)を作る
ボットに感染したパソコンは、ボットネットの一部として動くようになります。ボットネットの規模は、数十万台~巨大なものでは数百万台にもなります。
2. 攻撃者が指令サーバを介してボットを操り、感染している多くのパソコンをいっせいに遠隔操作、攻撃活動をする
数十万台ものパソコンが集まると、その力はとても大きなものになります。大量のパソコンだからこそ可能なDDos攻撃、迷惑メール送信、広告詐欺、ビットコイン採掘(マイニング)、ウイルス拡散などをおこないます。
スマートフォンにも感染するボットウイルス
ボットウイルスは、不正アプリを介してスマホ(特にAndroid)にも感染します。感染すると、個人情報の流出や意図しない電話発信、メール送受信被害にあう恐れがあります。
2010年に流通したGeinimi(ゲイニミ)ウイルスは、正規アプリに混入されて配布されていて、画面では判別が困難でした。
しかしインストール時に下記のような不自然なアクセス許可警告が表示されており、ここで判別できることもあります。
ボットウイルスで受ける被害
どの攻撃も、あなたの知らないうちにおこなわれることがほとんどです。気づいたときにはあとの祭りで、データを抜かれる、または他のパソコンへの攻撃の踏み台に利用され、深刻な被害になってから発覚するケースは多いです。
情報漏えい
感染したパソコンやサーバを攻撃者に遠隔操作され、スパイのように企業の重要情報(顧客の個人情報、機密情報、取引先情報など)が盗まれます。
ウイルスはまずID・パスワードを盗み、これをもとにネットワーク内のサーバへアクセスし、さらに重要情報を盗みます。
情報のすり替え
情報を盗まれるだけでなく、偽の情報に入れ替えられることもあります。すると社内が混乱し、大きな損害を受ける恐れがあります。
重要情報が流出するとどうなる?
1. 企業の信用ダウン
(セキュリティが甘い企業というレッテル)
2. 復旧にかかる多額の損失
(対処にかかる費用、業務ストップ、謝罪や賠償金の支払い)
→これらが売上ダウンにつながり、倒産の原因にもなる
攻撃に加担させられる
ボットウイルスに感染すると、あなたのパソコンが攻撃の踏み台に使われ、知らないうちに加害者にさせられてしまいます。
迷惑メールの踏み台にさせられる
ウイルスや詐欺を拡散するため、大量に送るスパムメールの送信元に使われてしまいます。同時に連絡先情報を盗まれることもあります。
DDos攻撃の踏み台にさせられる
DDos(ディー・ドス)攻撃とは、攻撃対象のサイトへ、複数の攻撃元から一斉に大量のアクセスを送ってダウンさせ、閲覧できなくさせることです。
ボットウイルスに感染すると、指令サーバの命令であなたのパソコンがこの攻撃元の一員に加えられてしまいます。
DDos攻撃については下記の記事で詳しく解説しています。
また遠隔操作により、様々な犯罪のぬれぎぬを着せられることもあります。
5人のパソコンが遠隔操作され、殺害予告の疑いで4人が誤認逮捕されてしまった事件です。無実の罪をきせられて犯罪者にされないために、感染対策の重要さをあらためて実感する事件です。
攻撃しやすいWebサイト探しに利用される
Web上にはたくさんのサイトが存在しますが、攻撃できるスキマ(脆弱性)のあるサイトはとても多いです。
ボットに感染すると、脆弱性のあるWebサイトを探すため、無数にあるWebサイトに片っぱしからアクセスし、脆弱性の有無を調べさせられます。(ネットワークスキャン活動)脆弱性のあるサイトを見つけると、指令サーバにその情報が送られます。
すると、攻撃者はそのサイトに攻撃を仕掛けます。このように、間接的に攻撃に加担させられてしまいます。
不正な報酬稼ぎに利用される
広告を利用した詐欺に使われる(クリック詐欺)
ボットに感染したパソコンやスマホに、不正広告を表示させられてしまいます。
また指令サーバの命令により、広告のバナーを知らないうちにクリックさせられます。
これはクリック詐欺や不正広告詐欺とも呼ばれるものです。
このしくみは、広告をクリックすると、その広告を掲載したサイトに報酬が支払われます。(アフィリエイト)
そこでボットネットの大量のパソコンを使って膨大な数のクリックを集め、多額の報酬を不正に稼ぐ手口です。また、不正広告を表示させ違うウイルスにさらに感染させられる、詐欺を仕掛けられることもあります。
このようなボットによる不正クリックはディスプレイ広告の11%、動画広告の23%にもなり、「曜日や時間帯でボットの比率が変わる」というデータもあります。
Bamitalというボットネット(2013年に活動停止)は、1日約300万クリック、6週間で180万以上のサーバと通信していたことが確認されています。
ただ広告のプロバイダ側もこのような詐欺対策はおこなっているので、詐欺と判定されると報酬は支払われないようになっています。
ビットコイン採掘(マイニング)に使われる
インターネット上の仮想通貨「ビットコイン」を入手する方法の1つが、採掘です。このしくみは、ビットコイン取引データの整合性を取るためにはコンピュータで膨大な計算をする必要があり、これに協力した際に報酬としてビットコインが支払われるものです。
採掘してもパソコン1台ではわずかな報酬しか稼げませんが、ボットネットの大量のパソコンを使うと多額の報酬を稼げます。
ボットウイルスの感染経路
Webサイト、アプリ
改ざんされたサイトにアクセスして感染
企業などの正規サイトが改ざんされ、ウイルスが仕込まれていることがあります。すると、アクセスしただけでボットが侵入することがあります。
改ざんサイトは見た目ではわからないので、パソコンのセキュリティ対策をしっかりしておくことが重要になります。
ファイルのダウンロードで感染
便利ツールやアプリ、動画や画像ファイルなどと見せかけて、ボットウイルスが仕込まれていることがあります。
ファイル共有ソフト(P2P)でのファイルダウンロードは、とくに危険です。
スマホアプリのインストールで感染
ゲームや便利アプリを装い、ウイルス入りの不正アプリが配布されていることがあります。正規アプリと見せかけた、偽アプリもあります。
公式以外のマーケットからのインストールは危険です。
メール
本文のリンクをクリックして感染
本文に記載されたリンクが不正サイトにつながっていて、そこから感染することがあります。仕事のメールを装い、実在の人物名で送られてくることもあります。
添付ファイルを開いて感染
業務資料などのWordやPDFファイルを装い、ボットウイルス入りの添付ファイルが届くことがあります。開いてしまうと感染します。
外部接続機器(リムーバブルメディア)から感染
感染したメディア介して、パソコンにも感染します。
USBメモリ、CD-ROM 、SDカード、スマートフォンなど
ボットウイルスの感染症状は?
感染しても目にみえる症状はあらわれないことが多く、見分けるのは困難です。しかしパソコンにこんな症状があらわれたら、感染の有無をチェックしたほうが良いでしょう。
- 動きが遅い
- 起動時の動作がいつもとちがう
- 実行中のタスク数が多い(処理能力がフル活用されている)
- セキュリティソフトが無効になる
なぜ、犯人はボットウイルスで攻撃を仕掛けてくるの?
お金が稼げるから=対策しない人が多いから
攻撃者の目的は、金銭です。ボットウイルスは、従来のウイルスによる嫌がらせなどではなく、情報を盗んだりするために、犯罪者が悪意をもって作ったものです。そのため、感染に気づかれないようとても巧妙にできています。
闇市場では、構築したボットネットの売買やレンタル、DDos攻撃を行うサービスの販売がおこなわれています。
セキュリティ対策を怠る人が多いほど、ゾンビパソコンが増えてボットネットが大きくなり、これを使って攻撃者はお金を稼ぎます。
感染を防ぐ!対策方法
「基本的なセキュリティ対策」を、しっかり続けることがいちばんです。
セキュリティソフトでスキャン
ウイルスに感染していないか?定期的に調べることは重要です。
すべてのパソコンに必ずセキュリティソフトを入れ、定期的にスキャンします。脅威が見つかれば駆除します。
- セキュリティソフトをすべてのパソコン、サーバに入れる
- パソコンのOSややアプリケーション、セキュリティソフトを最新状態にする(自動更新にする)
- 不正サイトへのアクセスをブロック
- 提供元が不明なファイルやメール、リンクは開かない
※「セキュリティソフトを入れれば安心」は間違い!
ボットウイルスはセキュリティソフトで簡単に検知できないよう、亜種がたくさん作られ、自身で形を変えます。セキュリティソフトで100%防げるわけではありません。
そのため、企業では下記のようなさらなる対策が必要です。
「セキュリティ診断」で確実にチェック
企業では、セキュリティソフトだけでの対策では不十分です。パソコンやサーバが感染していないか?自社サイトに脆弱性がないか?第三者のプロの手で調べることが重要です。
「思わぬ脅威が見つかり、セキュリティ事故を防げた」というケースは多いです。
最近は低価格でかんたんに申し込めるセキュリティチェックも多いです。いちど調べてみることで、取り返しのつかない事故を防げるでしょう。
その他対策
- 通信ログを解析し、不審な行動を監視する(パーソナルファイアウォールの利用)
- C&Cサーバへのアクセス遮断
まとめ
- ボットウイルスは命令されるまで潜伏するので、感染に気づきにくい
- 遠隔操作されるので、あらゆる被害を受けてしまう
- 企業ではログ解析や、プロによるセキュリティチェックも受ける
一人ひとりがセキュリティ対策をしっかりおこない、感染件数が全体的に減ることで、ボットネットは縮小し攻撃も衰退していくでしょう。
「自分は大丈夫」と思わずに、ウイルススキャンやセキュリティ診断をいちど受けてみることで、取り返しのつかない事故を防げるでしょう。
