【他人事じゃない!】スマホにも感染するウイルス「ボット」とは?

最近、PCやスマートフォンが「ボット」に感染するケースが多くなっているようです。ボットを知らない、もしくは「他人事」と考えているようなユーザーに向けた注意喚起として、改めてボットの実態や恐ろしさをまとめてみました。あなたのスマートフォンも狙われている!?

「ボット」とは?

他人がPCやスマートフォンのコントロールを奪い、スパムメールを大量に送信したり、特定企業などにDDoS(分散型サービス妨害)攻撃を仕掛けたりする凶悪なウイルスである。

感染者は被害者であると同時に、加害者になってしまう。

日本におけるボットの実態

ボットに感染した端末1台当たりの能力は、スパム送信数が1時間当たりで平均6890通(最大1万1679通)、1秒当たりでは1.94通(最大3.24通)。6年前のPCでの結果である

ISPユーザーの2~2.5%が感染している

1日平均70種もの亜種が発見された

アンチウイルスソフトを導入していないPCをインターネットに接続すると平均4分で感染する

攻撃だけでなく情報(保存された情報や周囲のPCの脆弱性など)収集に利用されている

イントラネットに侵入しているケースも確認される

1時間当たり約7000通もの迷惑メールを送信してしまう

ボットネットワークの脅威

ボットネットワーク

ボットに感染したコンピュータは、攻撃者が用意した指令サーバなどに自動的に接続され数十~数百万台のボット感染コンピュータを従えた「ボットネットワーク」と言われる巨大ネットワークを形成します。
感染したコンピュータは、攻撃者からの命令を待ち続け、攻撃者から命令が下されると、このボットネットワークに接続された感染コンピュータは、攻撃者の意のままに数十~数百万台の感染コンピュータを操ることができ、フィッシング目的などのスパムメールの大量送信や、特定サイトへのDDoS攻撃などに利用され、とても大きな脅威となります。
このため、感染コンピュータを使用しているユーザーは、知らぬ間に犯罪の踏み台にされ、「被害者」であると同時に「加害者」にもなってしまうのです。

ボットの感染経路

ボットには下に示すような様々なパターンで感染します。ユーザの中には、初期の感染経路である「メール添付感染型」のみがウイルスの感染経路で「メールの添付ファイルは開かないから大丈夫」と思っていらっしゃる型も少なくありません。
セキュリティホール(ぜい弱性)のあるパソコンをインターネットに接続しただけで感染する「ネットワーク感染型」や、ウイルスへのリンクを改ざんにより埋め込まれたホームページを見ただけで感染する「Web閲覧感染型」などが、最近の主流であり、ウイルス対策ソフトだけではなく、複合的な対策が求められています。

ネットワーク感染型
Windows等の基本ソフトや、その他のプログラムのセキュリティホール(ぜい弱性)や設定の不備を悪用し感染するタイプ。インターネット等のネットワークに接続するだけで感染する。

メール添付感染型
メールの添付ファイルをクリックし感染するタイプ。

Web閲覧感染型
ブラウザで閲覧したホームページに埋め込まれたウイルスをダウンロードして感染するタイプ。ホームページを見ただけで感染することもある。

Web誘導感染型
迷惑メールのURL等をクリックしアクセスしたホームページからウイルスをダウンロードして感染するタイプ。

外部記憶媒体感染型
USBメモリ、デジタルカメラ、ミュージックプレーヤーなどの外部記憶媒体を介在して感染するタイプ。

ボットの特徴


ボットは、感染したとしても従来のウイルス/ワームに比べて目に見える特別な症状が現れないことが多く、感染前との差異を感じることなくコンピュータを使用できるなど、ユーザに感染を気づかせない特徴を持っています。


ボットは、自分自身を自動的にアップデートする機能を使って、新しい機能を追加したり自身の不具合を修正することができます。また、アップデートの周期は短かく(数週間程度と言われています)、この点もボットの発見しにくさにつながっています。


ボットのソースコードやボットを簡単に作成するツールがインターネット上に公開されているため、ひとつのボットを元にした数多くの亜種が作成されています。これらの亜種の多さが、ウイルス対策ソフトによるボットの駆除を困難にしています。


今までのウイルス作成者は愉快犯が多かったのに対し、ボット作成者の場合は、ボットネット(ボットによるネットワーク)を時間単位で迷惑メールの配信会社に貸し出したり、盗み出した個人情報を販売するなど、ボットを犯罪に利用し利益を得ることを目的としています。

感染後の動作

迷惑メールの送信活動
感染コンピュータを踏み台にして迷惑メールの中継送信を行います。ユーザに気付かれないよう、一つのコンピュータからは少量のメールが送信されるだけですが、数万台規模のボットネットを利用することで、大量のメールを送信を可能にしてます。

DoS攻撃などの攻撃活動
特定のWebサーバに大量のパケット(データ)を送信し、そのサーバを利用不能にするサービスの妨害を行います。迷惑メールの送信と同様に、一つのコンピュータが送信する攻撃データは少量ですが、ボットネットによって数十万台~数百万台から攻撃データを送信された場合、大規模なサーバであっても脅威となります。

ネットワーク感染活動
迷惑メールやDoS攻撃に利用するコンピュータを増やすために、他のコンピュータのぜい弱性を狙った感染拡大活動を行います。ボットはぜい弱性を持つコンピュータを乗っ取り、ボットに感染させるためのプログラムを送り込みます。

ネットワークスキャン活動
「ネットワーク感染活動」を行うために、ぜい弱性を持つコンピュータの情報をインターネット上で収集します。収集された情報を使って、次の感染対象とするコンピュータを選び出します。

自分自身のバージョンアップや指令サーバの変更
ボットは、自身を自動的にアップデートする機能を使って、新しい機能を追加したり自身の不具合の修正をおこないます。また、攻撃者からの命令を仲介する「指令サーバ」がウイルス駆除などで使用できなくなると、新しい指令サーバへの変更も行います。

スパイ活動
キーボードの操作履歴や、コンピュータに保存されている情報を外部へ送信します。このため、クレジットカード番号やID、パスワード等を盗み出したり、メーラーのアドレス帳に登録しているアドレスを収集したり、さまざまな命令を受けてパソコン内の情報が外部に漏れることになります。

スマートフォンでの事例

世界初の「Androidボット」出現、スマートフォンを乗っ取る:ニュース
既存のゲームアプリに混入されて、非公式のアプリ配布サイトで配布されていた。

ボット型ウィルス「Geinimi」(ゲイニミ)からAndroid搭載スマートフォンを守る方法!正規のアプリのみに!|アマモ場
中国などで出回っている「Geinimi」(ゲイニミ)。こちらも上記同様に非公式のアプリ配布サイトでのアプリに混入されていた。

スマートフォンでの対策

Geinimiウイルスが混入しているアプリについては、そのアプリをインストールする際に、図1のような「個人情報」「料金が発生するサービス」といった言葉を含むアクセス許可の警告が表示されます。このアクセス許可の警告は、そのアプリがAndroid端末に対してどのような情報/機能にアクセスする可能性があるかを示しています。本ウイルスに限りませんが、インストール時に明らかに不自然なアクセス許可の項目が表示された場合は、インストールを中止してください。

インストール時は特に注意を!
「アンドロイドマーケット」以外のサイトからアンドロイドアプリをダウンロードしたい場合に、インストール時には「個人情報」「料金が発生するサービス」に注意

インストールは正規のアプリのみを
その他にも、設定画面から、「アプリケーション」へ行き、「提供元不明のアプリ」設定のチェックを外しておくことによって、アンドロイドマーケット以外で入手したアプリのインストールが自動的に阻止しておきます。
またアプリのインストール時に、「アクセス許可」の表示によく目をとおしておいて、不自然な内容の文言があれば、インストールを中止しましょう。
また、アンドロイド用のセキュリティ対策ソフト導入は必ずしておく必要がありますね。

スマートフォン向け無料ウイルス対策ソフト

AVGがアンドロイドスマートフォン向け無料ウィルス対策ソフト「AVG Antivirus Free for Android」をリリース : ウィルス対策研究所

どれを選ぶ? Android端末向けセキュリティ対策ソフト比較 − TechTargetジャパン スマートモバイル

ボットの感染の有無をチェックしよう!

CCC |サイバークリーンセンター 〜今すぐ感染の有無をチェック!〜
評判が良かったのだが、今年3月でこの活動はいったん終了し、別の形になるということだ(まだWebサイトは更新されていない)。今の状況でも調査と駆除は可能なので、案内に従って作業するといいだろう。

サイバークリーンセンター(CCC)|感染の症状から見る感染確認方法(ネットワーク感染型のみ)

参考リンク

ボットとは|ウイルスの特徴と感染源|サイバークリーンセンタ−(ccc)

萩原栄幸が斬る! IT時事刻々:「ボット」を他人事と思うユーザーに伝えたいこと – ITmedia エンタープライズ