ボットの最大の特徴は「ボットネットワーク」を構成することです。
ボットネットワークとは、攻撃者がC&Cサーバ(遠隔操作のための指令を送るサーバ)から一括して複数のボット感染環境を遠隔操作できる仕組みです。
攻撃の手法・特徴
- 攻撃者はC&Cサーバを介して、感染環境を外部から遠隔操作できます
- 特にボットネットワークを構成することにより、複数の感染環境を一括して遠隔操作することが可能となります
- ボットの感染をユーザに気づかせないため、感染しても表面的な変化はほとんど表れません
- ボットはC&Cサーバとの通信の中で、自身のアップデートを行います。これによってウイルス対策製品の検出を免れたり、攻撃に必要な機能を追加したりします
影響と被害
攻撃者は感染環境を遠隔操作することにより、様々な攻撃活動を行います。主に行われるのは以下の活動です
- 感染コンピュータ内や感染コンピュータが属するローカルネットワーク内に保持されている、各種アカウント情報、アドレス帳、キーボード入力の内容、文書ファイル、などの情報を窃取する
- ボットネットワークの拡大のために、感染環境からネットワーク内の他の環境へ感染する
- 感染環境から大量のスパムメールを送信する
- 感染環境から特定の攻撃目標に対しDDoS攻撃を実行する
特にスパムメール送信やDDoS攻撃が行われた場合、感染環境は知らない間に犯罪行為に加担していることになります。
つまり、被害者であると同時に加害者にもなってしまいます。