サイバー犯罪者がボットを使用する理由をSemaltに尋ねる

SemaltカスタマーサクセスマネージャーのOliver King氏は、サイバー犯罪者は「ボット」を使用してマルウェアに感染したコンピューターやデバイスを制御していると説明しています。これを可能にするには、攻撃者がこの方法でそれらを選択するために、ネットワークの一部である必要があります。

ボットネットの作成

攻撃者がボットプログラムを仕掛ける方法はたくさんあります。ちなみに、すでにマルウェアに感染したマシンは「ボット」または「ゾンビ」と呼ばれています。ユーザーのコンピューターを感染させる最も一般的な方法は、潜在的に有害なWebサイトを閲覧している場合です。サイト上にある「ボット」プログラムはその脆弱性を評価し、それを利用します。コンピュータへの侵入に成功すると、ボットは自身をインストールします。別の方法は、攻撃者が添付ファイルまたはスパムメールをターゲットユーザーに送信する場合です。また、コンピューター上に単一のマルウェアが存在すると、他のユーザーに道を譲る可能性があり、「ボット」プログラムもアクセスに利用できます。

「ボット」マルウェアは、システム内で自身を確立すると、ソースWebサイトまたはサーバーに接続して、次に何をすべきかについての指示を受信しようとします。サーバーはコマンドを送信し、ボットネットで何が行われているのかを監視します。これが、コマンドアンドコントロール(C&C)サーバーと呼ばれる理由です。

攻撃者はサーバーを使用してクライアントプログラムを作成し、「ボット」に情報を送信して、現在操作しているネットワークを介してさまざまなタスクを実行します。ネットワーク内の1つまたはすべてのボットにコマンドを発行することが可能です。制御しているのは、邪魔者、オペレーター、またはコントローラーです。

攻撃者ができること

ボットネットに接続されたデバイスは、所有者の正当な監視下にありません。これは、個人および企業のデータおよび関連リソースのセキュリティに重大なリスクをもたらします。最近のマシンには、財務情報やログイン資格情報などの機密性の高いコンテンツがたくさんあります。攻撃者がボットネットを使用してコンピュータへのバックドアエントリを取得した場合、攻撃者はこのすべての情報をすばやく収集して、所有者または企業に損害を与える可能性があります。

ボットネットのもう1つの用途は、Webサイトへのサービス拒否攻撃の開始です。収集された集合的リソースを使用して、各コンピューターは、同時にターゲットとなるサイトにリクエストを送信できます。トラフィックを処理できなくなるため、トラフィックが過負荷になり、トラフィックを必要とするユーザーが利用できなくなります。攻撃者は、集合的なリソースを使用して、スパムメールやマルウェアを送信したり、ビットコインをマイニングしたりすることもあります。

邪魔者は最近、非常に多くの「ボット」を集め、それを他の人に売ったり貸したりすることで、彼らの活動を商品化しました。ボットネットを使用してデータを盗んだり、詐欺行為やその他の犯罪活動を行ったりするため、ほとんどの犯罪組織はこの商品化の恩恵を受けています。

サイズの増加

ネットワーク内の統合されたコンピューターの数が増えると、ボットネットに問題が発生する可能性が高くなります。ボットネットは数百万もの「リクルート」ボットに成長しており、他の開発途上国がインターネットにアクセスできるようになるにつれ、この傾向は続くはずです。

ボットネットの削除

多くの国がボットネットの脅威を非常に真剣に受け止め、コンピューター緊急対応チーム(CERT)と法執行機関を積極的に関与させて阻止しました。この問題を修正する最も効果的な方法は、C&Cサーバーを停止し、邪魔者と「ボット」間の通信を切断することです。これが完了すると、ユーザーとネットワーク管理者はシステムをクリーンアップしてネットワークから自分自身を削除する機会が与えられます