ボットネット.

ボットネットとは、侵害された PC・サーバ・ルータ・IoT 機器などのエンドポイント群が、一つまたは複数のコマンド&コントロール(C2)サーバへ接続し、運用者(ボットマスター)からの指令を実行するネットワークである。ボットネットは、DDoS 攻撃、スパム、クレデンシャルスタッフィング、クリック詐欺、暗号資産マイニング、マルウェア配布、さらなる侵入のためのプロキシ網など多用途に用いられる。テイクダウンに耐えるため、集中型 C2、P2P、ファストフラックス DNS などを利用することがある。

規模こそがその特徴を決定づける。Mirai ボットネット(2016 年)は、デフォルト認証情報のリストを使って数十万台の IoT カメラやルータを取り込み、DNS プロバイダ Dyn に約 1 Tbps のトラフィックを向けて、Twitter、Reddit、Spotify をオフラインに追い込んだ。「911 S5」レジデンシャルプロキシ型ボットネットは、管理者 YunHe Wang の逮捕とともに 2024 年 5 月に FBI と国際的パートナーによって解体されたが、ほぼ 200 か国にわたり約 1,900 万の IP アドレスに感染し、被害者の機器を詐欺師に貸し出して数十億ドル規模の損害をもたらしていた。Emotet や Qakbot といったバンキング型ボットネットも同様に、協調的な法執行機関のシンクホール作戦によって無力化された。

flowchart TD
  M[マルウェア感染<br/>デフォルト認証情報・エクスプロイト・フィッシング] --> B1[ボット 1]
  M --> B2[ボット 2]
  M --> B3[ボット N]
  B1 --> C[C2 サーバ・P2P・ファストフラックス]
  B2 --> C
  B3 --> C
  C --> O[ボットマスターが指令を発する]
  O --> A[DDoS・スパム・プロキシ・マイニング]

対策としては、エンドポイントの衛生管理、IoT のファームウェア更新、既知 C2 のブロック、シンクホール、外向き通信のフィルタリング、ネットワーク異常検知、法執行機関主導の摘発などが挙げられる。