この記事を読むために必要な時間は約5分(1539文字)です。
ボットとは?
- 投稿日:2019-02-12
- 最終更新日:2019-02-13
- 表示:84PV
- カテゴリ:攻撃方法
「ボット」は初めて出てくる言葉なので、そのお話も合わせてします。
目次
質問の回答
一言で言うと動作目的が違います。ボットとは?
意味
ボットとは、ロボットのロを省略した言葉です。ロボットと同じく、指令に基づいて動作するソフトウェアです。
ウィルスとは限らない
検索エンジンの場合は、ボットではなく、クローラーと呼ばれることが多いです。クローラーには、URLが指令され、巡回が行われます。
同じ巡回先の指令であっても、
- 正しい目的に使われる
- 不正な目的に使われる
とどちらの場合もあり得ます。
検索エンジンに登録するための正しい動作の場合もあれば、不正アクセスする対象を探すための不正な動作の場合もあります。
全く同じボットを使用したとしても、指令の目的に問題があるだけです。
指令を実施しているボットに問題があるわけではありません。
動作
ボットは、次のような動作で説明されることが多いです。しかし、この説明ではわかり難いです。
実際には、次のように、ボットから、指令塔(Command and Control server:C&Cサーバ)に指令を取得しに行きます。
一般的な防御対策では、外からの侵入を防御し、内側から外への通信はできるようになっています。
しかし、指令を自らが取得に行くため、この防御対策では対応できません。
この対応できない部分が、最初の動作説明がわかり難くなっている理由です。
動作の変遷
司令塔は取得に回答するだけですから、相手が多くても対応できます。この指令を回答するための方法が変わってきました。
- 初期:IRC(チャット)サーバ
- 現在:HTTP(s)サーバ、ファイルサーバ
初期:IRC(チャット)サーバ
初期のころは、IRC(チャット)サーバが利用されていました。チャットを行うような感じで指令を書き込むと、それをボットが取得して実行していました。
このため、IRCが利用する6667番ポートへの通信をファイヤウォールやルータなどで遮断することで対策ができました。
現在:HTTP(s)サーバ、ファイルサーバ
多くの場所でIRC対策がなされたため、攻撃者は別の方法を考えました。指令を回答するための方法をIRCから変えたのです。
変えた先が、HTTP(s)サーバ、ファイルサーバです。
これらの場合、正常な使い方でも利用するため、ポートを遮断することができません。
また、内容が問題であって、正常な動作であるため、ファイヤウォールで防ぐことが難しいのです。
指令塔のURLがわかれば、対策ができます。
しかし、指令塔が一つとは限りません。
一つでも残っていれば、新たに追加した他の指令塔を利用するように指令を出すこともできるからです。
このしぶとさが、なかなかボットがなくならない理由の一つです。
ボットの呼び方
ボットではわかり難い
目的の違いだけですので、単に「ボット」と言った場合、ウィルス(マルウェア)なのかが分かりません。このため、「ボットウィルス」「ゾンビ」「スパムボット」などと呼ばれます。
指令に基づいて動作するので、ウィルス(マルウェア)の機能別の種類についてでお話をした「トロイの木馬」に分類できます。
ボットネットとは?
不正な動作をするためのボットを大量に集めた集団です。 「ボットネット」の他には、「ゾンビ・アーミー」「ゾンビ・クラスタ」などとも呼ばれます。タグ:ウィルス, トロイの木馬, ファイアウォール, ルータ
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
 | |
