btzgrp
  • osTicketを強力なヘルプデスクシステムとして導入する方法
Headlines

ボットネット:ビジネスユーザーとセキュリティ管理者のためのチートシート - TechRepublic

05 mins
ボットネット:ビジネスユーザーとセキュリティ管理者のためのチートシート - TechRepublic

画像: BeeBright、Getty Images/iStockPhoto

コンピューターやその他のデバイスがインターネットに接続されると、マルウェアやハッカーによる多くのリスクにさらされます。私たちは、個人所有のデバイスが潜在的な被害者であると想定しがちですが、サイバー攻撃の構成要素となる可能性については想定していません。しかし、ボットネットのノードになれば、実際にそうなる可能性があります。

ボットネットは、分散型サービス拒否 (DDoS) 攻撃の実行、マルウェアの拡散、暗号通貨のマイニングなど、さまざまな悪意ある行為を実行するために使用されます。これらはすべて、デバイスの所有者がデバイスが乗っ取られたことに気付かないうちに実行されます。

だからといって、インターネットに接続されたデバイスが乗っ取られた兆候がないわけではありません。ボットネットの被害者も救われないわけではありません。しかし、迅速な対応が不可欠です。攻撃者がデバイス上の個人情報にアクセスできるようになるだけでなく、ボットネットのノードは過熱によって物理的な損傷を引き起こす可能性があり、所有者は修理や交換の費用を負担せざるを得なくなります。(この記事の無料PDF版をダウンロード:チートシート:ボットネット)

参照:個人情報盗難保護ポリシー(TechRepublic Premium)

ボットネットとは何ですか?

ボットネットの定義はシンプルです。複数のコンピュータが連携して共通のタスクを実行することです。この定義が曖昧に思えるなら、それはまさにその通りです。ボットネットは定義上、悪意のあるものではありません。

ボットネットの最初の用途の一つは、インターネットリレーチャット(IRC)の運用でした。これは、接続されたコンピュータの完全に合法的な利用方法です。IRCは、サーバーやその他のコンピュータを使用して、送信者から受信者へのチャットを中継し、ネットワーク内の各コンピュータがデータを中継する役割を果たします。

一方、現代の悪意のあるボットネットは、通常、悪意のある目的で運用されており、コンピュータは、プログラムをインストールすることによってではなく、ハッカーによって直接ハイジャックされるか、マルウェアのインストールによってノードになります。

ボットネットは、通信に IRC、HTTP、Telnet、ToR などのさまざまなプロトコルを使用します。また、ソーシャル メディア サイトを使用してコマンドを発行し、検出を回避することもできます。

ボットネットは、基本的に、コマンド アンド コントロール (C&C) サーバーから命令を受け取る他のマルウェアとそれほど違いはありません。ただし、この場合、ボットネット マルウェアは、特定のコンピューターから収集できる情報よりも、感染したマシンから抽出できるコンピューティング リソースに重点を置いています。

ただし、これはボットネット マルウェアが、乗っ取られたマシンの所有者に関する個人識別情報 (PII) を収集するために使用されないことを意味するわけではないことに注意してください。ボットネット マルウェアは、資格情報、銀行情報、その他の個人情報を盗む機能を完全に備えています。

C&C方式を採用する従来のボットネットには重大な弱点があります。C&Cサーバーがオフラインになると、ボットネットは機能を停止してしまうのです。そのため、より高度なボットネットはピアツーピア(P2P)方式を採用し、事実上ヘッドレスとなり、阻止がはるかに困難になっています。分散型P2Pボットネットは依然としてネットワークにコマンドを送り込むオペレーターを擁していますが、そのコマンドはどこからでも発信される可能性があります。

参照:ソーシャルエンジニアリング: ビジネスプロフェッショナルのためのチートシート (無料 PDF) (TechRepublic)

ZeroAccessのようなボットネットはP2Pモデルを利用しており、ネットワークの秘密鍵を持つ人なら誰でもノードにコマンドを送信できます。感染したマシンは通信を行うために、インターネット上で他のノードを探し、そこから既知の感染マシンのリストが転送されます。これにより、ボットネットは驚異的な速度で拡大します。

ボットネットは、その制御方法に関わらず、通常、ノード所有者の個人情報(PII)を盗むことを副次的な目的としています。感染したマシンのコンピューティングリソースに重点を置くため、ボットネットはコンピューターだけでなく、インターネットに接続されたあらゆるものを標的とします。スマートフォン、ルーター、プリンター、そして最近ではモノのインターネット(IoT)デバイスも、ボットネットマルウェアの標的として人気を博しています。

特にIoTデバイスは、ボットネット管理者にとって好ましい製品になりつつあります。モノのインターネット(IoT)はここ数年で飛躍的に成長しましたが、すべてのハードウェアが十分にセキュリティ保護されているわけではありません。

モノのインターネット(IoT)は、その性質上、目に見えないように設計されており、それを動かすデバイスは、人目につかない場所に設置されたり、長期間気づかれないまま放置されたりすることがよくあります。大規模な成功を収めたMiraiボットネットは、2016年にDNSプロバイダーのDynを乗っ取ったことでよく知られています。この攻撃により、Twitter、Amazon、Redditなどのトラフィックの多いサイトがダウンしました。

MiraiがIoTデバイスへの攻撃に成功したのは、多くのデバイスが既知のデフォルトのユーザー名とパスワードで出荷され、多くの人がデバイス導入時にそれらを変更しなかったためです。攻撃者が行うべきことは、Miraiの場合と同様に、IoTデバイスをスキャンし、デフォルトの認証情報でログインし、デバイスをボットネットゾンビに変える悪意のあるファームウェアアップデートをインストールするだけです。

ボットネットは通常、同様の方法で拡散します。つまり、デバイスを直接攻撃することなくログインできる、セキュリティ保護されていないデバイスを探します。また、マルウェア、悪意のあるメールの添付ファイル、悪意のあるコードを含むスマートフォンアプリなど、一般的な方法でコンピューターに拡散します。

追加リソース

  • マルウェアの10年:2010年代のトップボットネット(ZDNet)

悪意のあるボットネットは何に使用されますか?

攻撃者が数十万台、あるいは数百万台のデバイスを制御できる場合、攻撃者は自身の利益を増大させ、他者の生活を困難にするために多くのことを行うことができます。

悪意のあるボットネットの最も一般的な用途は、ウェブサイト、DNSプロバイダー、その他のインターネットサービスを停止させるDDoS攻撃を仕掛けることです。DDoS攻撃は、大量のトラフィックを駆使してプロバイダーを麻痺させ、正規のトラフィックが到達できないようにすることで、最終的にプロバイダーをオフラインに陥らせます。

参照: TechRepublic のすべてのチートシートと賢い人向けガイド

DDoS攻撃はボットネットの唯一の用途ではありません。ボットネットは以下のような目的でもよく使用されます。

  • 企業や政府が所有する機密ネットワークに侵入し、貴重な情報を盗む。
  • ビットコインのような暗号通貨を密かに採掘し、デバイスを焼き尽くして破壊する。
  • ボットネットをインストールするマルウェアが添付されたスパムメールや、個人情報を収集したり追加のマルウェアをインストールしたりする悪質なサイトへのリンク、詐欺を企てる意図のあるメールなどを送信する。
  • クリック詐欺(広告を繰り返しクリックさせて収益を得る行為)
  • 広告詐欺を犯します。これはクリック詐欺に似ていますが、非表示の広告がある Web サイトや、詐欺的な広告を掲載するためだけに設計されたサイトで発生します。

これらの用途に加えて、多くのボットネットは、サイバー犯罪者が独自の目的のために利用するためにレンタルされています。つまり、ある種類の攻撃を実行することで知られているボットネットは、上記のいずれかの目的、あるいは野心的な攻撃者が思いつくあらゆる目的に利用される可能性があるということです。

追加リソース

  • DDoSボットネット開発者に懲役13ヶ月の判決(ZDNet)
  • 2月はMiraiボットネット拡散を目的としたエクスプロイトが急増(TechRepublic)
  • ハッカーは8年間にわたり、アニメ動画をダウンロードするためだけに大規模なIoTボットネットを運営していた(ZDNet)
  • このボットネットはフィッシングメールを介して新たなランサムウェアキャンペーンを拡散し、再び活動を再開した(ZDNet)

デバイスがボットネットに感染していることを示す兆候は何ですか?

他の種類のマルウェアと同様に、インターネットに接続されたデバイスをボットネットのノードに変えるタイプのマルウェアは、可能な限り目立たないように設計されています。コンピューター、スマートフォン、IoTデバイスに何か異常を感じたユーザーは、疑念を抱く可能性があり、それはボットネットが貴重なノードを失うことを意味します。

参照:モノのインターネット (IoT) の 5 つのイノベーション (無料 PDF) (TechRepublic)

だからといって、痕跡が残らないわけではありません。ボットネットは他人のコンピューティングリソースを利用してタスクを遂行するため、何に注意すべきか分かっていれば、明らかな兆候は目に見えて明らかになります。

ウイルス対策ソフトウェアメーカーESETのブログ記事には、コンピューターにボットネットマルウェアが感染している可能性がある場合に注意すべき10の兆候がリストアップされています。このリストはPCとmacOSデバイスにのみ適用されます。スマートフォンやIoTデバイスにおけるマルウェアの症状は異なる場合があり、以下で説明します。

コンピュータがアイドル状態のときにコンピュータのファンが作動していますか?

これは、知らないうちにパソコンが過負荷になっている兆候かもしれません。あるいは、アップデートのダウンロードが行われている兆候かもしれません。パソコンで何が実行されているか確認し、アップデートのダウンロードが見られず、ファンに問題がない場合は、マルウェアスキャンを行う必要があります。

コンピュータをシャットダウンする際に問題がありますか?

シャットダウンに失敗したり、コンピュータの電源を切るのに時間がかかったりする場合は、マルウェアがバックグラウンドで実行され、通常のシャットダウンサイクルを妨害している可能性があります。繰り返しますが、これは正規のソフトウェアのバグによって引き起こされる場合もあるため、ボットネットマルウェアであると即断しないでください。

自分のアカウントから不思議なソーシャルメディア投稿がされていることに気づいていますか?

自己増殖を試みる悪意のあるソフトウェアは、検知されずに拡散するために巧妙な手段を講じることがあります。その一つがソーシャルメディアです。自分が投稿した覚えのない投稿に気づいたり、自分が送信していないダイレクトメッセージを送信したと警告されたりした場合は、感染している可能性があります。

上記と同様に、コンピューター上のマルウェアが原因ではない可能性があります。アカウントがハッキングされたか、データ侵害でパスワードが盗まれたか、別のデバイスが侵害された可能性があります。

マシンの動作が遅いですか?

パソコンの速度が急激に低下するのは、多くのリソースが使用されている兆候です。これは、ユーザーが気づいていないソフトウェアがバックグラウンドで動作していることを示している可能性があります。繰り返しますが、これは他の問題によっても引き起こされる可能性があります。

システムアップデートをダウンロードできませんか?

一部のマルウェア、特に既知の脆弱性を利用する種類のマルウェアは、重要な脆弱性を悪用可能な状態に保つため、コンピュータがアップデートをダウンロードできないようにします。アップデートをダウンロードできない場合は、深刻な問題であり、直ちに対処する必要があります。

新しいウイルス対策定義をダウンロードできませんか?

これらの症状に気付き、ウイルススキャンを実行するためにウイルス対策ソフトウェアを更新しようとしたが、アップデートをダウンロードできない場合は、ウイルス対策ソフトウェアの更新をブロックするマルウェアに感染している可能性が高いです。また、マルウェアによってブロックされることが多いウイルス対策ベンダーのウェブサイトにアクセスできないことも、この兆候を示しています。

インターネットアクセスが非常に遅いですか?

お使いのマシンがスパム送信やDDoS攻撃に利用されている場合、帯域幅を大量に消費している可能性があり、インターネット接続が極端に遅くなる可能性があります。マシンの電源を切るか、インターネットから切断し、別のマシンで問題が再発するかどうかを確認してください。疑わしいマシンが切断されているときはインターネットが高速なのに、オンラインのときは遅い場合は、何らかの攻撃を受けている可能性があります。

友人、家族、同僚から、あなたから疑わしいメールを受け取ったと言われましたか?

ボットネットはスパムを送信することが多く、コンピュータが感染すると、アカウントを使用して連絡先に悪意のあるメッセージを送信する可能性があります。

オンラインでなくても、ポップアップがランダムに表示されますか?

これは他の種類のマルウェアの兆候であることが多いですが、コンピュータ上のボットネットマルウェアは他のマルウェアもインストールする可能性があります。少なくとも、このメッセージが表示されている場合は、何らかの感染が発生している可能性があります。

タスク マネージャーで認識できないプログラム名が実行されていますか?

正当なプログラムやサービスでも認識しにくい名前が付いている場合がありますが、奇妙な名前や意味不明な名前は、特に大量のリソースを消費している場合は、マルウェアである可能性を示しています。

スマートフォンがボットネットマルウェアに感染している兆候

これはAndroidユーザーにとって、はるかに大きな問題です。iPhoneもマルウェアに感染する可能性はありますが、デバイスがジェイルブレイクされ、サードパーティのアプリストアを利用しない限り、感染する可能性は非常に低いです。一方、Androidははるかにオープンであり、Google Playアプリストアにおける審査ははるかに緩やかです。

使用しているプラ​​ットフォームに関係なく、スマートフォン マルウェアの兆候には次のようなものがあります。

  • 使用しているアプリに関係なく、常に広告が表示される
  • 新しくインストールしたアプリのアイコンが消える
  • バッテリー寿命が大幅に減少
  • デバイス上の見覚えのないアプリ
  • 急激な減速と深刻な過熱

IoTデバイスがボットネットマルウェアに感染した兆候

侵害を受けた IoT デバイスを検出するのはほぼ不可能だが、米国司法省は、Mirai ボットネットの発生時に見られたパフォーマンスの低下や応答の遅さなど、いくつかの兆候があると述べた。

侵害された IoT デバイスは更新を拒否する可能性があり、ファイアウォールやルーターで IoT デバイスが送信すべきでないトラフィックを送信していることを示す異常なインターネット アクティビティが検知される場合もあります。

追加リソース

  • ボットネット攻撃などのサイバー脅威を回避する方法:4つのヒント(TechRepublic)
  • この攻撃的な IoT マルウェアは、Wi-Fi ルーターをボットネット軍に強制的に参加させている (ZDNet)
  • ボットネットを阻止できなかった6つの理由(TechRepublic)
  • Miraiボットネットマルウェアのこの新しい亜種は、ネットワーク接続ストレージデバイスを標的にしている(ZDNet)

デバイスがボットネット ノードになるのを防ぐにはどうすればよいですか?

インターネットに接続されたデバイスが最新のボットネットの奴隷にならないように保護するには、多くの要素が絡み合っており、サイバーセキュリティ対策を徹底するだけでは不十分です。セキュリティプロバイダーのノートンが指摘するように、一般的にはコンピュータを保護するには適切なセキュリティ対策で十分ですが、スマートフォンやIoTデバイスに関しては対策が異なり、後者2種類のデバイスを所有している場合は、すべての対策が同様に重要です。

コンピュータを保護するには、次の点に注意してください。

  • 信頼できるセキュリティスイートをインストールし、最新の状態に保ち、定期的にスキャンを実行する
  • 新しいアップデートがリリースされるたびに、必ずオペレーティングシステムを更新してください。
  • 疑わしいソースからの添付ファイルや、知っている人からの疑わしいメールは絶対にダウンロードしないでください。
  • メール内のログインリンクをクリックしないでください。手動でウェブサイトにアクセスし、そこからログインしてください。
  • オペレーティングシステムのファイアウォールが有効になっていることを確認してください。Windows 10とmacOSにはファイアウォールが組み込まれています。
  • パスワードをきちんと管理しましょう。パスワードを重複させず、複雑にし、定期的に変更しましょう。
  • 多要素認証を提供しているサービスでは多要素認証を使用する

コンピューターのセキュリティ対策は他のデバイスにも当てはまります。常に最新の状態に保ち、不正なリンクをクリックせず、疑わしい添付ファイルをダウンロードしないようにしましょう。ただし、スマートフォンを使用する場合は、セキュリティに関していくつか留意すべき点があります。

  • .apk または .ipa ファイルを使用してアプリを手動でインストールしないでください。サードパーティのウェブサイトによって再配布されたアプリは、マルウェアを含むように変更される可能性があります。
  • サードパーティのアプリストアをインストールするためにデバイスをルート化したり脱獄したりしないでください。マルウェアに感染したアプリがたくさんあることが多いためです。
  • アプリをインストールする前に、ユーザーのレビューと評価を確認してください。ユーザーが詐欺やマルウェアの可能性があることを指摘している場合は、アプリをインストールせず、Google または Apple に報告してください。

IoT デバイスのセキュリティに関する推奨事項として、DOJ は以下を提案しています。

  • IoTデバイスを購入する前に、メーカーをよく調べましょう。そのメーカーが安全なデバイスを製造していることで定評があるか、また、デフォルトのパスワードが周知されているか、それともハードコードされているかを確認しましょう。
  • IoTデバイスをインターネットに接続する前に、セキュリティ対策をしっかり行いましょう。まずはアップデートをダウンロードし、デフォルトのパスワードを変更し、セキュリティ機能を有効にしましょう。
  • IoTデバイスには安全なパスワードを使用してください。通常のアカウントよりもさらに安全なパスワードが考えられます。デバイスのセキュリティを最大限に高めるため、数字、文字、大文字、特殊文字を組み合わせた長くランダムなパスワードを使用してください。また、可能であれば、管理者アカウント名を変更することも効果的です。
  • ファームウェアのアップデートが利用可能になったら、必ずすぐにインストールしてください。
  • 保護できないデバイス、またはメーカーがセキュリティ情報を公開しているものの脆弱性に対する更新がまだ行われていないデバイスは切断します。
  • IoTデバイスの電源を定期的に入れ直してください。ボットネットマルウェアはIoTデバイスのメモリ内に潜んでいることが多く、電源をオフにして数分間放置するだけで駆除できます。
  • 未使用のポートを閉じ、MAC アドレス フィルタリングを有効にし、ユニバーサル プラグ アンド プレイを無効にすることで、Wi-Fi ネットワークとルーターのセキュリティを確保します。
  • ネットワークのエッジにある IoT デバイスが改ざんから物理的に保護されていることを確認します。
  • IoT ネットワークをセグメント化して、ネットワーク全体や、接続する必要のない他の IoT デバイスへのアクセスを防止します。

追加リソース

  • サイバーセキュリティのプロになる方法:チートシート(TechRepublic)
  • 新たなボットネット攻撃は「他のIoTボットネットを凌駕する」(TechRepublic)
  • ハッカーが29のIoTボットネットを乗っ取る(ZDNet)
  • ボットネットからビジネスを守る6つの戦略(TechRepublic)
Tagged:

Related News