ボット【情報処理安全確保支援士講座】

情報処理安全確保支援士 ボット

今回は、情報処理安全確保支援士の試験で問われるボットについて解説します。

アカリ
アカリ
マルウェアの一種にボットっていうのがあるらしいけど、チャットボットとかとは違うの?
トモル
トモル
いずれもロボットの略称だけど、今回扱うのは悪性のボットだね

この記事のまとめ

  1. ボットの概要
  2. ボットの感染経路
  3. ボットの対策

ボット

情報処理安全確保支援士 ボット

セキュリティ関連で登場する狭義のボットは、マルウェアの一種です。コンピュータに感染するだけでなく攻撃者によって遠隔操作ができる悪質なプログラムです。

一部のプログラムはソースコードが公開されているため、亜種が次々に登場しています。

ボットの感染経路

ボットは、十分な対策をしないままインターネットにブロードバンド接続するような一般家庭のPCで感染しがちです。具体的な感染経路は以下の通りです。

ボットの感染経路
  • ウイルス付き添付メールのファイル
  • 不審メールのURLクリック先
  • 不正なWebサイト
  • ネットワークからの不正アクセス
  • 他ウイルス感染によるバックドアからの侵入
  • ファイル交換ソフトの悪用
  • IM(インスタントメッセンジャ)

ボットは利用者に気づかれないよう、hostファイルにソフトウェアベンダーにおけるURLの偽の名前解決情報を登録しアクセスを妨害したり、ソフトそのものを停止したりします。

ボット感染後の動作

ボットに感染すると、PCはネットワークを通じC&Cサーバと通信をし下記のような振る舞いをします。

ボット感染後の動作
  • スパムメールの送信
  • 他ネットワークへのDoS攻撃
  • 他コンピュータへの感染拡大
  • 自身のバージョンアップ
  • 感染PCでの情報収集
アカリ
アカリ
他のコンピュータやネットワークへの踏み台にされるケースが多いんだね

ボットのコントロールにはIRC(Internet Relay Chat)などが利用されます。同一のC&Cサーバ配下にある無数のボットは、指令一つで一斉にコントロールできるネットワークを形成します。

キュー
キュー
これをボットネットと呼ぶで

ボットネットによって大量のスパムメールが送信されたりDDoS攻撃が行われたりしており、インターネットの脅威となっています。

📝【出題履歴】令和4年度秋期 午後Ⅰ問3 ボットネットに関する出題

【問題文】
d はマルウェア感染によって攻撃者の制御下となったコンピュータで構成されますが,ゲームサーバ1もそのままにしておくと d に加えられてしまっていたかもしれません。

【設問】

設問3
(2) 本文中の d に入れる適切な字句を,解答群の中から選び,記号で答えよ。
解答群
ア ゼロトラストネットワーク
イ ダークウェブ
ウ ハニーポット
エ ボットネット

出題:令和4年度秋期 午後Ⅰ問3

ボットの対策

ボットはマルウェアの一種なので、アンチウイルスソフトなどでの対策が可能です。加えて、下記の対策も有効です。

ボットの対策
  • ファイアウォールでIRC・IM・P2Pなどの通信を遮断する
  • 社内ルールでIRC・IM・P2Pなどを禁止する
スポンサーリンク

ボット・例題

実際に例題を解いて問題に慣れていきましょう。

問1

マルウェアの一種であるボットに関する説明として,最も適切なものはどれか。(オリジナル)

ア:ファイルを暗号化し,複合のために金銭を要求する。
イ:利用者に正規ソフトウェアを装って実行させ,単体で情報を窃取する。
ウ:攻撃者の指令サーバからの指示を受けて,不正な通信や処理を実行する。
エ:Webアプリケーションの入力値を改ざんし,SQL文を不正に実行させる。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

問1の解説を表示

ボットは、外部の指令サーバ(C2サーバ)からの命令を受けて動作するマルウェアです。感染した端末は攻撃者の制御下に置かれ、次のような行為を実行します。

感染した端末の動作
  • DDoS攻撃への参加
  • スパムメール送信
  • 不正アクセスの踏み台

自己増殖を主目的としない点がワームとの大きな違いです。

誤り選択肢の整理

ア:ファイルを暗号化し,複合のために金銭を要求する。
→ランサムウェアの説明です。したがって誤りです。

イ:利用者に正規ソフトウェアを装って実行させ,単体で情報を窃取する。
→トロイの木馬の説明です。したがって誤りです。

ウ:攻撃者の指令サーバからの指示を受けて,不正な通信や処理を実行する。
→ボットの説明です。したがって正解です。

エ:Webアプリケーションの入力値を改ざんし,SQL文を不正に実行させる。
SQLインジェクションの説明です。したがって誤りです。

これより、「ウ」が正解です。

問2

ボットネットによって引き起こされる攻撃として,最も適切なものはどれか。(オリジナル)

ア:多数の感染端末から標的サーバへ同時に大量の通信を送信し,サービスを停止させる。
イ:Webアプリケーションに対して改行コードを注入し,HTTPレスポンスヘッダを改ざんする。
ウ:DNSサーバのキャッシュに偽のIPアドレスを登録させる。
エ:SQL文の構文を改変し,データベース内の情報を不正に取得する。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

問2の解説を表示

ボットネットは、多数のボットに感染した端末群を攻撃者が一元的に制御する仕組みです。代表的な攻撃がDDoS攻撃(分散型サービス拒否攻撃)です。

ア:多数の感染端末から標的サーバへ同時に大量の通信を送信し,サービスを停止させる。
→DDoS攻撃の説明です。したがって正解です。

イ:Webアプリケーションに対して改行コードを注入し,HTTPレスポンスヘッダを改ざんする。
→HTTPヘッダインジェクションの説明です。したがって誤りです。

ウ:DNSサーバのキャッシュに偽のIPアドレスを登録させる。
→DNSキャッシュポイズニングの説明です。したがって誤りです。

エ:SQL文の構文を改変し,データベース内の情報を不正に取得する。
SQLインジェクションの説明です。したがって誤りです。

これより「ア」が正解です。

ボット・まとめ

この記事のまとめ

  1. ボットの概要
  2. ボットの感染経路
  3. ボットの対策

今回はボットについて学習しました。ボットによる被害にあわせて、C&Cサーバもよく問われるので用語や役割を覚えておきましょう。

次回はランサムウェアについて学習します。

しかくのいろは
しかくのいろは
https://www.sikaku-no-iroha.co.jp/it-qualification/sc/ransomware-sc
体系的に資格を学べる学習サプリ(サイト+アプリ)

本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク







独学講義,情報処理安全確保支援士

Posted by 佐野 孝矩