ボットネット

出典: フリー百科事典『ウィキペディア（Wikipedia）』

ボットネット（botnet）とは何らかの方法でコンピュータウイルス等を実行している、外部の人物によってコントロールされるようになったコンピュータによって構成されるネットワークのこと。近年では犯罪者が組織的に行い、収入を得る手段になっている。

[編集] 動作原理

通信手段にはIRCが良く使われる。ボットネットのノードは感染するとDDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザーとして参加している司令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ある一つのIRCサーバが止められてもボットネット全体が止まることは無く、司令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が重要になる。

類似の事例として、通信手段に2ちゃんねるの掲示板を使った例も存在した。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスレッドを荒すと言うもの。

[編集] 機能

[編集] ネットワークのメンテナンス

特定のサイトに置かれているファイルで自分自身を置き換えるアップデート機能、既知の様々な脆弱性を悪用して自分の拡散を試みる機能等が基本としてある。また、感染ノードから個人情報を吸い上げることも行われている。

[編集] 分散サービス使用不能攻撃

ボットネットは大量のホストをある目的のために使用させることが可能である。最初に良く使われたのはこの目的で、多くの著名サイトが犠牲となった。分散サービス使用不能攻撃は被害が露見しやすくネットワークの寿命を縮めるため組織的な犯罪者が関わるようになった近年ではあまり行われない。

[編集] スパムメール

近年、スパムメールに対する意識が高まり、ブラックリストが普及したことや、送信などへの法的な罰則が強化されたため、身元を明かさずにメールを送信する需要が出て来た。世界中広く感染させることの可能なボットネットを通してメールを送信することによって、フィルタリングを抜けやすく、かつ犯人の足取りを掴みにくくすることが出来る。この様な方法で送られて来るメールの特徴としては、同種の内容を持ったメールについて、送信ホストが地域的な偏りが無く、デジタル加入者線や、ケーブルテレビやダイアルアップのネットワークと思われるようなDNSの逆引きがついていなかったり、ついていても機械的な命名規則でネットワークの特徴が含まれているようなFQDNになっていることが多いことが挙げられる。

[編集] 違法サイトの構築

スパムメールによって宣伝しても宣伝先に足がつくと摘発される可能性がある。そのため、ボットネットによるサイト構築も行われている。多くはHTTPのリクエストを本当のコンテンツを持っているサイトに中継する逆プロキシサーバと見られる。これによってフィッシングサイトや、勃起不全治療薬等の販売、住宅金融や出会い系サイトを構築している例が存在する。一つの手口では、ボットネットの幾つかのノードをDNSラウンドロビンさせて生存状況によって適宜入れ換えられるようになっている。