サイバー脅威・対策

ボットネット (Botnet)

約 4 分で読めます

最終更新: 2026-04-22

ボットネットとは

ボットネット (Botnet) とは、マルウェアに感染して攻撃者の遠隔操作下に置かれた多数のコンピュータやデバイスで構成されるネットワークのことです。感染した個々のデバイスは「ボット」や「ゾンビ」と呼ばれ、所有者が気づかないまま攻撃者の指令に従って動作します。

ボットネットの規模は数千台から数百万台に及ぶことがあり、その集合的な処理能力を悪用して DDoS 攻撃、スパムメールの大量送信、暗号通貨のマイニング、個人情報の窃取などが行われます。攻撃者にとっては、自前のインフラを持たずに大規模な攻撃を実行できる「レンタル可能な攻撃基盤」として機能しています。

C&C サーバーと指令の仕組み

ボットネットの中核にあるのが C&C (Command and Control) サーバーです。攻撃者は C&C サーバーを通じて感染デバイス群に一斉に指令を送ります。

集中型 (クライアント・サーバー型)
1 台または少数の C&C サーバーが全ボットを制御する。構造がシンプルで応答が速いが、C&C サーバーを特定・遮断されるとボットネット全体が無力化される弱点がある。
分散型 (P2P 型)
ボット同士が P2P ネットワークで指令を中継する。中央サーバーが存在しないため、テイクダウン (無力化) が極めて困難。GameOver Zeus や Hajime がこの方式を採用した。
ドメイン生成アルゴリズム (DGA)
ボットが日時に基づいてランダムなドメイン名を自動生成し、その中から C&C サーバーのドメインを探す。セキュリティ研究者がドメインを事前にブロックしにくくなる。Conficker が有名な採用例。

近年は SNS の投稿や暗号化されたメッセージングサービスを C&C 通信の経路に利用するケースも報告されており、正規の通信に紛れ込ませることで検出を回避する手法が高度化しています。

ボットネットの主な悪用手法

  • DDoS 攻撃: 数万〜数百万台のボットから標的サーバーに一斉にリクエストを送り、サービスを停止させる。2016 年の Mirai ボットネットによる攻撃では、DNS プロバイダ Dyn が標的となり、Twitter、Netflix、Reddit など多数の大手サービスが数時間にわたってアクセス不能になった。
  • スパム・フィッシングメールの大量送信: ボットの IP アドレスを使い分けることで、送信元のブラックリスト登録を回避しながら大量のメールを配信する。
  • クレデンシャルスタッフィング: 流出したアカウント情報のリストを使い、ボットが多数のサービスに自動ログインを試行する。クレデンシャルスタッフィング攻撃の主要な実行基盤となっている。
  • 暗号通貨マイニング (クリプトジャッキング): 感染デバイスの CPU/GPU リソースを無断で使用し、攻撃者のウォレットに暗号通貨を送金する。電気代と機器の劣化は被害者が負担する。

Mirai ボットネット - IoT 時代の転換点

2016 年に登場した Mirai は、ボットネットの脅威を世界に知らしめた象徴的な事例です。Mirai は PC ではなく、ネットワークカメラ、ルーター、DVR などの IoT デバイスを標的にしました。工場出荷時のデフォルトパスワード (admin/admin、root/root など) が変更されていないデバイスを Telnet 経由でスキャンし、わずか数十種類のパスワードリストで数十万台のデバイスを感染させました。

Mirai のソースコードが公開されたことで、亜種が次々と生まれ、IoT ボットネットの脅威は現在も続いています。この事件は、IoT デバイスのセキュリティがインターネット全体の安定性に直結することを示した転換点でした。

ボットネット感染を防ぐ対策

ボットネットへの感染を防ぐには、デバイスの種類に応じた多層的な対策が必要です。

  • OS・ファームウェアの更新: 脆弱性を突いた感染を防ぐ最も基本的な対策。PC だけでなく、ルーターや IoT デバイスのファームウェアも定期的に更新する。
  • デフォルトパスワードの変更: Mirai の教訓。ルーター、ネットワークカメラ、NAS など、ネットワークに接続するすべてのデバイスで初期パスワードを強固なものに変更する。
  • 不要なポートの閉鎖: Telnet (23 番ポート) や SSH (22 番ポート) など、外部からのリモートアクセスに使われるポートを不要であれば閉じる。
  • ファイアウォールの適切な設定: 不審な外向き通信 (C&C サーバーへの接続) を検出・遮断する。
  • ネットワーク監視: 通常と異なるトラフィックパターン (深夜の大量通信、未知の外部 IP への定期的な接続) を検知する仕組みを導入する。

企業環境では、ネットワークセグメンテーションにより IoT デバイスを業務ネットワークから分離することも有効です。感染が発生しても被害の拡大を抑えられます。

よくある誤解

ボットネットに感染するのは PC だけ
Mirai 以降、IoT デバイス (ルーター、ネットワークカメラ、スマート家電) がボットネットの主要な標的になっています。これらのデバイスはセキュリティ更新が行き届かないことが多く、PC よりも感染リスクが高い場合があります。スマートフォンも不正アプリ経由でボット化されるケースが報告されています。
感染したらすぐに気づける
ボットは所有者に気づかれないよう設計されています。CPU 使用率やネットワーク帯域の消費を低く抑え、通常の動作に影響を与えないように振る舞います。攻撃指令を受けたときだけ活動するため、普段は完全に正常に見えることがほとんどです。
セキュリティソフトを入れていれば安全
PC 向けのセキュリティソフトは有効な対策の一つですが、IoT デバイスにはセキュリティソフトをインストールできないものが大半です。ルーターのファームウェア更新やデフォルトパスワードの変更など、デバイスごとの対策が不可欠です。
共有する
B!

関連用語

DDoS 攻撃 大量のコンピュータから標的のサーバーやネットワークに一斉にリクエストを送信し、サービスを利用不能にする攻撃。ボットネットと呼ばれる感染端末群が攻撃に利用されるこ… マルウェア 悪意のあるソフトウェアの総称。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェアなどが含まれる。メールの添付ファイル、不正な Web サイト、USB … フィッシング 正規の組織や個人を装い、パスワードやクレジットカード情報などの機密情報を詐取する攻撃手法。メール、SMS (スミッシング)、偽 Web サイトなど多様な手段が使… ファイアウォール ネットワークの境界に設置され、通信の許可・拒否を制御するセキュリティ機構。パケットフィルタリング型、ステートフルインスペクション型、アプリケーションゲートウェイ… クレデンシャルスタッフィング 過去のデータ漏洩で流出した ID とパスワードの組み合わせを、他のサービスに自動的に試行する攻撃手法。パスワードの使い回しを悪用するため、サービスごとに異なるパ… ボット (Bot) 人間の操作なしに自動的にタスクを実行するソフトウェアプログラムの総称。検索エンジンのクローラー (Googlebot) やチャットボットのように有益な良性ボット…

関連記事

DDoS 攻撃とは - 種類・ボットネット・防御方法を解説 DDoS 攻撃の 3 つの分類 (ボリューム型・プロトコル型・アプリケーション層型)、ボットネットの仕組み、CDN による防御、攻撃を受けた際の対応手順を解説します。… マルウェアとは - ウイルス・ワーム・トロイの木馬の違いと対策 マルウェアの種類 (ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア) の違い、感染経路、検出方法、効果的な対策を解説します。… IoT デバイスのセキュリティ:スマート家電を安全に使うために スマートスピーカーや監視カメラなど、IoT デバイスに潜むセキュリティリスクと、家庭内ネットワークを守る方法を解説します。…
← 用語集