ボットネット

ボットネットは、ロボットとネットワークという用語を組み合わせたもので、相互に通信し、コマンド&コントロール(C&C)サーバーと通信するコンピューター(「ボット」)のグループです。

情報セキュリティにおいて、ボットとは、セキュリティ防御が破られたコンピューターのことです。これらは、コンピューターの所有者または正当なオペレーターの同意なく、第三者がそれらをコントロールできるようにする悪意のあるソフトウェアを実行しています。自宅のコンピューターは、この方法で侵害されることがよくありますが、ボットは学校、企業、政府所有のコンピューターで発見されています。ただし、場合によっては、ボットが侵害されたサーバーとなります。たとえば、ESETの研究者は、組織化された犯罪者グループが25,000を超える固有のLinuxおよびUNIXサーバーを侵害するWindigoという名前の大規模で高度な操作を発見しました。

ボットネットは通常、迷惑メールを生成したり、他のマルウェア(マルウェアのコピーを含む)を拡散したり、ネットワークやWebサーバーに過剰な要求を殺到させて失敗させたり(サービス拒否攻撃、DDoS)したりするために使用されます。ボットネットは、フィッシング、盗まれたデータの転送、その他の金融犯罪にも使用されています。

最大のボットネットは数百万台のコンピューターで構成されており、深刻な脅威をもたらします。2014年7月15日に上院司法委員会の犯罪とテロリズムに関する小委員会で行った声明の中で、FBIのサイバー部門のアシスタントディレクターであるJoseph Demarest氏が引用した業界の推計によると、ボットネットは米国の被害者に90億ドル以上の損失を引き起こし、世界中で1,100億ドル以上の損失をもたらしました。世界中で毎年約5億台のコンピューターが感染しています。

このため、国内外の法執行機関は大手セキュリティ企業と協力して、C&Cサーバーとドメインを押収することでボットネットを崩壊させています。そのような混乱の一例は、2015年12月にFBI、インターポール、ユーロポール、Microsoft、ESETを含む多数のセキュリティ機関がDorkbotボットネットに対して共同で対抗したことです。

ESETはボットネット保護技術を使用して、発信ネットワーク通信で既知の悪意のあるパターンを検索し、リモートサイトを悪意のあるパターンのブラックリストと照合します。検出された悪意のある通信はブロックされ、ユーザーに報告され、オプションでESETに報告されます。