全3065文字
PR

 マルウエアを使って金銭を奪う攻撃が世界中で発生している。国内では、580億円分の暗号資産(仮想通貨)が盗まれた2018年のコインチェック事件が記憶に新しいだろう。

 この事件には、マルウエアの「Smoke Bot」と「Netwire RAT」が使用されたと報じられた。前者はボット、後者はRATに分類されるマルウエアだ。どちらもパソコンが感染すると、攻撃者がそのパソコンを遠隔操作できるようになる。

 ボットとRATは何が違うのか図1)。今回はこの2種類のマルウエアを使った攻撃の手口を確認し、両者の違いを押さえていこう。

図1●パソコンの「乗っ取り」に使われるボットとRAT
図1●パソコンの「乗っ取り」に使われるボットとRAT
パソコンを乗っ取って遠隔から操作することをたくらむ攻撃者は、ボットやRATを使う。暗号資産(仮想通貨)を窃取されたコインチェック事件では、ボットとRATの両方が使われたとされる。
[画像のクリックで拡大表示]

ボットネットを利用して攻撃

 まずボットを使ったサイバー攻撃の流れを見ていく。

 ボットを使う攻撃では「ボットネット」を利用する。ボットネットはボットに感染したパソコンなどの端末と、複数のボット感染端末を管理し命令を出すサーバー(C&Cサーバー)で構成される(図2)。ボットは多くのマルウエアと同じように、メールなどを使って感染を広げる。例えば、攻撃者は標的にした利用者に対してボットを添付したメールを送信。利用者がメールの添付ファイルを開くとボットに感染する。

図2●ボットを使った代表的なサイバー攻撃のDDoS攻撃
図2●ボットを使った代表的なサイバー攻撃のDDoS攻撃
ボットは攻撃者が用意したC&Cサーバーから定期的に命令を受け取り、それに従う。ボットを使ったDDoS攻撃では、ボットに感染したパソコンが命令を受け取って標的を一斉攻撃する。C&Cサーバーとボットに感染したパソコンで構成されたネットワークを「ボットネット」と呼ぶ。
[画像のクリックで拡大表示]

 C&Cサーバーには攻撃者が用意したサーバーのほかに、掲示板サービスやSNSサービス、ハッキングされた企業のサーバーなどが利用される。セキュリティーベンダーや公的機関がC&Cサーバーを発見すると、C&Cサーバーを閉鎖する場合がある。そのため攻撃者は、C&Cサーバーを複数台用意するのが一般的である。

 ボットネットを操る攻撃者は、C&Cサーバーに命令を設定する。ボットに感染したパソコンはC&Cサーバーに定期的にアクセスして命令を受け取り、それに従う。

 ボットを使った代表的なサイバー攻撃に「DDoS攻撃」がある。DDoS攻撃では、攻撃者はボットに感染したパソコンに対して、特定のサーバーを攻撃するよう命令する。ボットに感染したパソコンは大量のデータを一斉に送信するなどして、対象のサーバーをサービス停止に追い込む。

 ボットを使った攻撃はDDoS攻撃だけでない。ボットに感染したパソコンでのパスワードの収集やファイルの検索、キー入力の監視なども可能だ。そのパソコンに別のマルウエアに感染させたり、そのパソコンを踏み台にしてネットワーク内でボットの感染を拡大させたりすることもできる。