IT用語集 2024/12/22

Botnetとは？ 10分でわかりやすく解説

コラム

UnsplashのGrowtikaが撮影した写真

Botnet（ボットネット）は、マルウェアなどにより侵害された複数の端末やIoT機器が、攻撃者の指示を受けて不正活動に使われるネットワークです。感染した端末は、DDoS攻撃、スパム送信、フィッシング、情報窃取、不正マイニングなどに悪用される場合があります。

企業にとってBotnetは、「攻撃されるリスク」だけでなく、「自社端末や機器が攻撃基盤に使われるリスク」でもあります。感染端末が外部攻撃に使われると、業務停止、信用低下、外部説明、復旧費用、法的・契約上の対応に発展する可能性があります。対策では、感染を防ぐだけでなく、外向き通信の監視、感染端末の隔離、権限管理、更新運用、インシデント対応まで含めて設計します。

Botnetとは何か

Botnetの定義

Botnetとは、悪性コードに感染した複数の端末や機器が、攻撃者によりネットワーク越しに制御される状態を指します。感染した端末は「ボット」と呼ばれ、攻撃者からの指示に従って通信、スパム送信、攻撃トラフィック生成、情報送信などを行います。

Botnetの対象は、パソコンやサーバーだけではありません。ルーター、監視カメラ、NAS、複合機、IoT機器、クラウド上の仮想サーバーなども対象になります。特に、初期パスワードのまま運用されている機器、更新されていない機器、外部から管理画面へ到達できる機器は狙われやすくなります。

Botnetと単体のマルウェア感染の違い

単体のマルウェア感染は、端末内の情報窃取や不正処理で完結する場合があります。一方、Botnetでは、感染端末が攻撃者の制御下に置かれ、継続的な不正活動の一部として利用されます。

つまり、Botnetは「感染端末の集合」だけではなく、攻撃者が指令を出し、複数の端末を連携させて不正活動を行う攻撃基盤です。感染端末が多いほど、DDoS攻撃の通信量、スパム送信量、認証情報の窃取範囲、不正マイニングの処理能力が大きくなります。

Botnetの基本構成

Botnetは、主に次の要素で構成されます。

ボット：感染した端末、サーバー、IoT機器
C2：Command and Controlの略で、攻撃者が感染端末へ指示を出すための制御基盤
攻撃者：Botnetを構築・運用し、不正活動を指示する主体
不正活動：DDoS、スパム送信、情報窃取、不正マイニング、プロキシ悪用など

C2は、特定のサーバーへ集中する場合もあれば、感染端末同士が命令を伝え合う分散型になる場合もあります。分散型では、一部のサーバーや端末を停止しても全体が残ることがあり、検知や遮断が難しくなります。

Botnetの仕組み

1. 侵入経路の確保

攻撃者は、フィッシングメール、不正な添付ファイル、改ざんサイト、不正広告、脆弱性の悪用、漏えい済みパスワード、初期パスワードのままのIoT機器などを使って侵入します。

企業環境では、従業員端末、外部公開サーバー、VPN装置、メールサーバー、リモートアクセス環境、IoT機器、クラウド上の検証環境が侵入経路になり得ます。管理対象外の機器や、資産台帳に載っていない機器が残っていると、発見が遅れやすくなります。

2. 端末の感染と常駐

侵入後、攻撃者は端末にマルウェアを設置し、再起動後も動作するようにします。マルウェアは、自身を隠す、セキュリティソフトを回避する、追加の不正プログラムを取得する、権限を高めるなどの動きを行う場合があります。

利用者がすぐに異常へ気づくとは限りません。端末は通常業務に使える状態のまま、裏側で外部通信や不審な処理を続ける場合があります。これにより、感染が長期化し、Botnetの一部として利用されるリスクが高まります。

3. C2への接続

感染端末は、攻撃者が用意したC2へ接続し、指示を受け取ります。C2との通信には、HTTP、HTTPS、DNS、IRC、P2Pなど、さまざまな方式が使われます。正規通信に見せかけるため、一般的なWeb通信やDNS問い合わせに紛れ込ませる場合もあります。

この段階では、外向き通信の監視が重要になります。普段アクセスしない国やドメインへの通信、短い間隔で繰り返される通信、不審なDNS問い合わせ、未知のプロセスによる外部接続などは、感染の兆候になり得ます。

4. 不正活動の実行

攻撃者は、Botnetを使ってさまざまな不正活動を行います。代表的なものは、DDoS攻撃、スパム送信、フィッシング配信、認証情報の窃取、不正マイニング、プロキシ化、追加マルウェアの配布です。

企業端末がBotnetに組み込まれると、自社が被害を受けるだけでなく、外部への攻撃や迷惑メール送信に加担したように扱われる場合があります。その結果、IPアドレスやドメインの評判低下、取引先からの問い合わせ、メール配送障害、外部説明が発生します。

Botnetに使われる主なマルウェアと手口

トロイの木馬

トロイの木馬は、正規ソフトや業務ファイルに見せかけて侵入するマルウェアです。利用者が実行すると、端末内に常駐し、C2と通信したり、追加の不正プログラムを取得したりします。

Botnetでは、初期侵入、認証情報の窃取、バックドア設置、追加ペイロードの導入に使われます。メール添付、偽アップデート、業務文書を装ったファイルなどが侵入経路になります。

ワーム

ワームは、ネットワークを介して自己増殖する性質を持つマルウェアです。未修正の脆弱性、弱いパスワード、共有設定の不備などを悪用し、他の端末へ感染を広げます。

Botnetでは、感染端末数を増やす手段として使われます。社内ネットワークでセグメント分離や更新管理が不十分な場合、短時間で多数の端末に影響が広がる可能性があります。

スパイウェア・情報窃取型マルウェア

スパイウェアや情報窃取型マルウェアは、ブラウザに保存された認証情報、Cookie、メール、入力情報、業務ファイル、暗号資産ウォレット情報などを取得します。

Botnetに組み込まれた端末から認証情報が盗まれると、メールアカウント、クラウドサービス、VPN、業務システムへの不正アクセスにつながります。盗まれた情報は、別の攻撃やフィッシング詐欺の材料にも使われます。

IoT Botnet

IoT Botnetは、ルーター、監視カメラ、NAS、スマート家電、産業機器などのIoT機器を感染対象にするBotnetです。初期パスワード、更新不足、外部公開された管理画面、不要なリモート管理機能などが悪用されます。

IoT機器は、利用者が画面上で異常に気づきにくく、長期間放置されることがあります。そのため、感染しても発見が遅れ、DDoS攻撃やスキャン活動の一部として利用される場合があります。

Botnetによる主な被害

DDoS攻撃への悪用

Botnetは、DDoS攻撃の通信源として悪用されます。多数の感染端末から一斉に通信を発生させ、Webサイト、API、DNS、認証基盤、オンラインサービスを利用しにくい状態にします。

DDoSの被害は、サービス停止だけではありません。問い合わせ対応、機会損失、SLA違反、広告費の損失、復旧作業、顧客説明などが発生します。攻撃規模や対象機能によっては、ネットワーク回線、WAF、ロードバランサー、アプリケーションサーバー、データベースまで影響を受けます。

スパム送信とドメイン評価の低下

感染端末がスパム送信に使われると、自社のIPアドレスやドメインが迷惑メール送信元として扱われる場合があります。その結果、正規のメールが届きにくくなり、営業、請求、サポート、顧客連絡に影響します。

メール送信の評判が低下すると、復旧には時間がかかります。送信元認証、送信ログ、スパム送信の停止、ブラックリスト解除申請など、技術対応と外部対応が必要になります。

情報窃取と認証情報の悪用

Botnetに組み込まれた端末から、認証情報、業務文書、取引情報、顧客情報、メール本文、ブラウザCookieなどが盗まれる場合があります。盗まれた認証情報は、社内システムやクラウドサービスへの不正アクセスに使われます。

情報漏えいが発生した場合、影響範囲の調査、関係者への連絡、再発防止策、契約上の報告、監督機関への相談が必要になる場合があります。初動でログを保全していないと、被害範囲の特定が難しくなります。

不正マイニングとリソース搾取

Botnetは、不正マイニングにも使われます。感染端末やクラウド環境のCPU、GPU、メモリ、ネットワークを使い、暗号資産の採掘を行います。

この被害では、端末の動作遅延、電力消費の増加、クラウド利用料の急増、機器寿命の短縮が起こります。利用者が「端末が遅い」と感じるだけで終わらせず、プロセス、通信、CPU使用率、クラウド課金の変化を確認します。

プロキシ悪用と攻撃の中継

感染端末は、攻撃者の通信を中継するプロキシとして使われる場合があります。これにより、攻撃者は発信元を隠し、別の標的へ攻撃を行います。

企業ネットワークが攻撃の中継に使われると、外部からの通報、通信遮断、取引先からの確認依頼、法的・契約上の説明が必要になる場合があります。外向き通信の制御とログ保全が重要になります。

Botnet感染の兆候

端末やサーバーの異常

Botnet感染の兆候として、CPU使用率やメモリ使用量の増加、端末の動作遅延、ファンの異常回転、未知のプロセス、身に覚えのないサービス追加、不審なタスクスケジューラ設定などがあります。

ただし、Botnetは目立たないように動作する場合もあります。端末の動作が遅いという症状だけで判断せず、EDR、ログ、プロセス一覧、通信状況を組み合わせて確認します。

ネットワーク通信の異常

感染端末は、C2や攻撃対象へ通信します。次のような通信は調査対象になります。

通常業務で使わない国や地域への通信
短い間隔で繰り返される外部通信
不審なDNS問い合わせ
業務時間外に増える通信
未知のプロセスからの外部接続
大量のSMTP通信やHTTPリクエスト

ネットワーク異常を確認するには、DNSログ、プロキシログ、ファイアウォールログ、EDRログ、クラウド監査ログを関連付けます。単一のログだけでは、感染範囲や外部通信の目的を判断しにくい場合があります。

メール・外部通報の兆候

感染端末がスパム送信に使われると、外部からの通報、メール配送エラー、ブラックリスト掲載、送信量の急増が発生します。社内では異常が見えにくくても、外部から先に指摘される場合があります。

この場合は、メールサーバーのログ、送信元端末、認証情報の利用状況、SMTP通信、転送ルール、不審なアカウントを確認します。送信元を止めるだけでなく、侵入経路と認証情報の悪用有無を調べます。

Botnetへの対策

資産把握と更新管理

Botnet対策の出発点は、管理対象を把握することです。端末、サーバー、ネットワーク機器、IoT機器、クラウド環境、検証環境を台帳化し、OS、ソフトウェア、ファームウェア、外部公開状況を確認します。

OSと主要ソフトウェアの更新を継続する
VPN装置、ルーター、NAS、監視カメラなどのファームウェアを管理する
外部公開サービスを棚卸しする
初期パスワードや共有パスワードを廃止する
更新できない機器は分離、アクセス制限、代替計画でリスクを下げる

脆弱性対応では、すべてを同時に処理するのではなく、外部公開、認証基盤、管理機能、重要業務への到達性を基準に優先順位を付けます。

端末防御と権限管理

端末側では、ウイルス対策、EDR、アプリケーション制御、ログ取得を組み合わせます。導入だけではなく、アラート確認、隔離判断、復旧手順まで運用に含めます。

EDRやウイルス対策を最新状態に保つ
利用者に管理者権限を常時付与しない
不要なソフトウェアやサービスを削除する
USBメモリや外部デバイスの利用ルールを定める
端末の異常時に報告できる窓口を明確にする

権限が広すぎる端末が感染すると、認証情報の窃取や横展開につながります。通常業務では最小権限を基本にし、特権操作は申請、承認、記録を残します。

外向き通信の監視と制御

BotnetはC2へ接続できることで機能します。そのため、外向き通信の監視と制御が重要になります。必要な通信先とプロトコルを整理し、不審な通信を検知・遮断できる状態を作ります。

DNS問い合わせを監視し、不審ドメインへの通信を検知する
プロキシやSWGでWeb通信を可視化する
ファイアウォールで不要な外向き通信を制限する
既知のC2、マルウェア配布サイト、危険ドメインへの通信を遮断する
通常と異なる国や時間帯の通信を確認する

通信制御は、遮断だけを目的にしないことが重要です。どの端末が、いつ、どこへ、どのプロセスから通信したかを追跡できると、感染範囲の切り分けが進めやすくなります。

ネットワーク分離と横展開の抑止

感染を完全に防ぐことは困難です。感染後に被害が広がらないよう、ネットワーク分離とアクセス制御を設計します。

業務端末、サーバー、管理系ネットワーク、IoT機器を分離する
重要サーバーへの接続元を制限する
管理画面へアクセスできる端末と利用者を限定する
横方向の通信を監視し、不要な通信を制限する
感染端末を隔離できる手順を用意する

特にIoT機器やネットワーク機器は、業務端末と同じネットワークに置かないことが重要です。管理が難しい機器ほど、被害が重要システムへ広がらないようにします。

メール・Web経由の侵入対策

Botnet感染は、メールやWeb経由でも発生します。フィッシング詐欺、不正添付、URL誘導、改ざんサイト、不正広告を前提に対策します。

危険な添付ファイルや不審URLを検知・隔離する
メール認証、なりすまし検知、外部メール警告を整備する
WebフィルタリングやSWGで危険サイトへの到達を減らす
従業員が不審メールを報告しやすい導線を用意する
訓練結果を、教育だけでなく検知・隔離ルールの改善に使う

教育は重要ですが、教育だけでは不十分です。人が誤って開いても、実行を止める、通信を遮断する、早期に検知する仕組みを組み合わせます。

インシデント発生時の対応

感染端末の隔離

Botnet感染が疑われる場合は、対象端末をネットワークから隔離します。ただし、証跡が消える可能性があるため、電源断の前に必要なログやメモリ情報を保全できるかを判断します。

隔離後は、EDRや管理ツールで同じ通信先へ接続している端末、同じマルウェア検知が出ている端末、同じアカウントを使っている端末を洗い出します。1台だけの問題と決めつけず、感染範囲を確認します。

ログ保全と影響範囲の確認

調査では、端末ログ、EDRログ、DNSログ、プロキシログ、ファイアウォールログ、認証ログ、メールログ、クラウド監査ログを保全します。Botnetでは、外部通信、追加マルウェアの取得、認証情報の悪用、横展開が起きていないかを確認します。

C2と疑われる通信先
感染端末の通信履歴
同じ通信先へ接続した端末
不審なプロセス、サービス、タスク
利用された認証情報とアカウント
情報持ち出しや外部送信の有無

封じ込めと復旧

感染端末は、マルウェア除去だけで済ませず、再感染の可能性を確認します。重要端末や感染が深い端末では、初期化やクリーンなバックアップからの復元を検討します。

復旧時には、パスワード変更、多要素認証の確認、不要アカウントの停止、脆弱性修正、通信遮断ルールの更新、セグメント分離の見直しを行います。業務再開を急ぐだけでなく、同じ経路で再感染しない状態を作ります。

外部説明と再発防止

Botnet感染により、スパム送信、DDoS加担、情報漏えい、外部攻撃の中継が発生した場合は、関係者への説明が必要になる場合があります。取引先、顧客、委託先、クラウド事業者、通信事業者、監督機関との連絡手順を確認します。

再発防止では、原因を「利用者が開いた」だけで終わらせないことが必要です。なぜ添付を実行できたのか、なぜC2へ接続できたのか、なぜ隔離が遅れたのか、なぜ資産把握ができていなかったのかを分解し、運用へ反映します。

企業が優先すべきBotnet対策

優先度が高い対策

Botnet対策では、すべてを同時に整えるのではなく、被害を抑える効果が高い領域から進めます。

資産台帳を作り、端末・サーバー・IoT機器・外部公開サービスを把握する
OS、ソフトウェア、ファームウェアの更新運用を整える
初期パスワード、共有パスワード、不要アカウントを廃止する
外向き通信、DNS、プロキシ、ファイアウォールログを確認できる状態にする
EDRやウイルス対策のアラート確認と隔離手順を定める
重要システムとIoT機器をネットワーク分離する
感染時の連絡、隔離、ログ保全、復旧手順を文書化する

後回しにすると危険な領域

次の領域を放置すると、Botnet感染の発見や封じ込めが遅れやすくなります。

外部公開された管理画面
更新されていないVPN装置やネットワーク機器
初期パスワードのままのIoT機器
ログが取得できない端末やサーバー
退職者や委託先の残存アカウント
外向き通信を制限していないサーバー

これらは攻撃者に悪用されやすく、感染後の調査にも影響します。資産把握、更新、認証、ログ取得、通信制御の順に確認すると、現実的に進めやすくなります。

まとめ

Botnetは、マルウェアなどに感染した端末やIoT機器を攻撃者が遠隔制御し、DDoS、スパム送信、情報窃取、不正マイニング、攻撃の中継などに利用する仕組みです。企業は、被害者になるだけでなく、外部攻撃の基盤として自社環境を悪用される可能性があります。

対策では、資産把握、更新管理、権限管理、端末防御、外向き通信の監視、ネットワーク分離、メール・Web対策、インシデント対応を組み合わせます。特に、IoT機器やネットワーク機器、外部公開サービスは管理対象から漏れやすいため、台帳化と更新運用が重要です。感染を完全に防ぐ前提ではなく、早く検知し、隔離し、被害範囲を限定できる運用を整えることが、Botnet対策の中心になります。