ボットネット

ボットネット（Botnet）とは、ハッキングされて攻撃者の制御下に置かれた電子端末の集合体のことです。攻撃者はこれらの端末を遠隔操作し、DDoS攻撃やスパムメールの送信、個人情報の窃取、さらなるマルウェアの拡散といった悪意ある目的で利用します。

ボットネットは、「ボット（Bot）」と「ネットワーク（Network）」を組み合わせた言葉です。ボットとは、マルウェアに感染し、攻撃者の支配下に入った電子端末のことを指します。ボットネットに組み込まれる代表的な端末には、コンピューターやIoCデバイス、モバイルデバイスがあります。ボットネットという言葉には、こうした感染端末（＝ボット）から成るネットワーク、という意味があります。

近年では、IoTデバイスの数の増加や機能向上に伴ってIoTボットネットが深刻な脅威になっています。ボットネットに組み込まれるIoTデバイスの中ではルーターが特に多いほか、IPカメラやネットワークビデオレコーダー（NVR）といった機器も標的になっていることが報告されています。

「ボットマスター」や「ハーダー」とも呼ばれるボットネットの管理者（攻撃者）は通常、オンライン環境全体に対してスキャンを行い、ボットとして取り入れられそうな脆弱なデバイスを探します。そして見つかったデバイスを侵害してボットネットマルウェアに感染させることで、ボットネットを拡大していきます。ボットネットを構成する感染デバイスの数は、数万〜数十万台に上ります。

攻撃者は、C&Cサーバーを介してボットネットを操ります。C&Cサーバーは「Command and Control Server」を略したもので、ボットに指令（Command／コマンド）を送り、制御する（Control）ためのサーバーを意味します。「C2サーバー」と呼ばれる場合もあります。攻撃者の指令は、中央のC&Cサーバーから各ボットへ伝達される仕組みです。

一方で、司令部を中央のC&Cサーバーに集約するのではなく、分散させているボットネットも存在します。P2P（ピアツーピア）型ボットネットと呼ばれるこのタイプのボットネットは、ボット同士が直接通信し、リレー方式で攻撃者の命令を伝達する仕組みを採用しています。

攻撃者はボットネットに指令を出すことで一度に多数のデバイスを動作させることができるため、大規模な攻撃を実施できるようになります。ボットネット管理者の中には、自らのボットネットをほかのサイバー犯罪者に貸し出すサービスを提供している者もいます。なお、ボットネットは常に活動しているわけではなく、定期的に、または不定期で活動するのが一般的です。

代表的なボットネットに「Mirai」と呼ばれるものがあり、その亜種が引き続き脅威となっています。また最近では、「Aisuru」と呼ばれるボットネットが史上最大規模のDDoS攻撃を実施して話題になりました。そのほかにも、以下のようなボットネットの存在が知られています。