ボットネットの活動状況

ボットには、様々な攻撃を行うための機能が組み込まれており、その中でも DoS 攻撃は代表的な攻撃手段となっています。ボットネットによる DoS 攻撃では、通常数千台、数万台のボットが、一斉に標的のサーバに対して攻撃を行います。このため、

標的となったサーバは、大量のデータを一度に受信することによる負荷に耐えきれず、

サービス不能状態に陥ります。また、攻撃元のコンピュータが多数あるため、フィルタリングによる防御が通常の DoS 攻撃よりも困難になっています。ボットネットによる

注１：ボット観測数は、コンピュータ名が判明しないものも含んでいます。

注２：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。

注３：補助円内のグラフは、100%比率に換算して表示しています。

551,226

415,492

27,255

62,814

179,270

0 100,000 200,000 300,000 400,000 500,000 600,000

H20 H21 H22 H23 H24

（台）

（年）

19.1%

13.6%

8.4%

6.8% 6.8%

45.3%

米国日本クウェートドイツエジプトその他・不明

93.6% 6.4%

IPアドレス不明 IPアドレス判明

DoS 攻撃の手法としては、SYN flood 攻撃、UDP flood 攻撃、Ping flood 攻撃等があります。

今期の攻撃命令の観測数は 93,789 件で、前期と比較して 53,837 件（234.8%)増加しました（図６-５)。大幅に増加した要因として、特定のボットネットによる攻撃命令が、

5 月から 6 月にかけて集中して観測されたことが挙げられます。

図６-５攻撃命令件数

観測された攻撃命令を攻撃手法別に分類すると、SYN flood 攻撃が最も多く観測されており、攻撃命令件数は 61,448 件で、23 年と比較して 39,852 件（184.5%)増加しています。

SYN flood 攻撃について、攻撃対象の宛先ポート別に分類すると、1995/TCP、

1999/TCP、2020/TCP といった特異なポート番号が上位を占めています（図６-７)。これは、前述した特定のボットネットの攻撃命令によるものでした。このボットネットからの攻撃命令は、7 月以降、観測されなくなっています。また、攻撃対象の国・地域別で見ると、米国が最も多く、全体の 61.6%を占めています。次いで、ドイツ、フランス、英国、

トルコの順となっています（図６-８)。

UDP flood 攻撃の攻撃命令件数は 30,067 件で、前期と比較して 22,363 件（290.3%）

増加しています。その一方、Ping flood 攻撃の攻撃命令件数は 211 件で、前期と比較して 2,719 件（92.8%)減少したため、SYN flood 攻撃と UDP flood 攻撃で、攻撃命令全体の 97%以上を占めています（図６-６)。

74,508

2,468 3,151

39,952

93,789

0 20,000 40,000 60,000 80,000 100,000

H20 H21 H22 H23 H24

（件）

（年）

図６-６攻撃命令の種類別比率^（注）

図６-７攻撃先のポート別比率^（注）

（SYN flood 攻撃のみ）

図６-８攻撃対象の国・地域別比率^（注）

（SYN flood 攻撃のみ）

注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。

65.5%

32.1%

0.2% 2.2%

SYN flood攻撃 UDP flood攻撃 PING flood攻撃その他・不明

23.0%

19.0%

15.1%

6.2%

5.2%

31.6%

1995/TCP 1999/TCP 80/TCP 6665/TCP 2020/TCP その他

61.6%

19.0%

8.4%

5.4%3.7% 1.9%

米国ドイツフランス

英国トルコその他・不明

6.2.2

更新・ダウンロード活動

ボットには、機能の追加や、接続する指令サーバの変更等を行うため、ボットネットの指令サーバから命令を受けて、インターネットからファイルをダウンロードし、自分自身を更新したり、他のコンピュータへファイルを蔵置したりする機能があります。

今期観測された更新命令の件数は 13,423 件で、前期と比較して 11,403 件（45.9%）

減少しました（図６-９）。

今期に観測した更新命令によりダウンロードしたファイルは、全部で 753 個でした。

そのうち、ウイルス対策ソフト等で検出されたファイルは 132 個（17.5%）でした。ダウンロードしたファイルの中には、新たなボットネットに接続されるものだけでなく、コンピュータ内のファイルを暗号化するなどして使用不能にするランサムウェアと呼ばれるものも見受けられました。ダウンロード先の国・地域別では米国が最も多く全体の 42.0%を占めています（図６-10）。

図６-９更新命令件数

図６-10 ダウンロード先の国・地域別比率^（注）

注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。

2,025 3,484

49,364

24,826

13,423 0

10,000 20,000 30,000 40,000 50,000 60,000

H20 H21 H22 H23 H24

（件）

（年）

42.0%

10.6%

3.5% 4.2%

2.8%

36.7% 米国

トルコドイツフランスカナダその他・不明

感染活動

ボットネットには、ボットを増やすための機能があり、ネットワーク上のコンピュータに対して感染活動を行います。ボットは、OS やアプリケーションの脆弱性、パスワード攻撃、他の不正プログラムに感染したコンピュータが使用するバックドア等を悪用するなどの感染活動を行います。

今期観測された感染命令件数は 906 件で、前期と比較して 670 件（283.9%)増加しました（図６-11)。観測した感染命令のうち 95.8%が、今期に新たに把握した 2 つのボットネットからの感染命令でした。このうち１つのボットネットの感染活動は、リモートコントロールソフトである VNC が稼働しているコンピュータを狙ったものでした。

コンピュータの利用者は、自らのコンピュータがサイバーテロやサイバー攻撃に加担することのないように、常に高いセキュリティ意識を持って、適切なセキュリティ対策を行うことが大切です。

図６-11 感染命令件数

215,205

258,757

100,306

236 906

0 50,000 100,000 150,000 200,000 250,000 300,000

H20 H21 H22 H23 H24

（件）

（年）

0 20,000 40,000 60,000 80,000 100,000 120,000

0 1,000,000 2,000,000 3,000,000

H24.01.01 H24.02.01 H24.03.01 H24.04.01 H24.05.01 H24.06.01 H24.07.01 H24.08.01 H24.09.01 H24.10.01 H24.11.01 H24.12.01 H25.01.01

流通ファイル数（Share）流通ファイル数（Winny)

接続コンピュータ数（Share）接続コンピュータ数（Winny、国内）

流通ファイル数

（個/日）

接続コンピュータ数

（台/日）

改正著作権法施行による違法ダウンロード刑事罰化

7 P2P

観測システム

P2P(Peer to Peer)の技術を利用したファイル共有ネットワークは、参加者の匿名性が高く、それに乗じて、多数の違法ファイルが流通しています。警察庁では、その実態を把握するため、平成 21 年に P2P 観測システムを導入して試験運用を行い、22 年 1 月 1 日に正式に運用を開始しました。

Winny 及び Share については、平成 24 年 10 月 1 日に施行された改正著作権法の違法ダウンロード刑事罰化の影響によるとみられる、急激な接続コンピュータ数・流通ファイル数の減少を確認しているほか、全体としても緩やかな減少傾向が続いています（図７-１）。

図７-１流通ファイル数・接続コンピュータ数の推移

図７-２流通ファイルの傾向（Winny）^（注）図７-３流通ファイル数の傾向（Share）^（注）

注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。

43.6%

29.8%

10.9%

2.7% 2.2%

圧縮動画画像

音楽文書その他

58.0%

32.7%

2.7% 3.6%1.5% 1.5%

圧縮動画画像

音楽文書その他

付録平成

年度第

／四半期データ

^（注１）

8.1

センサーに対するアクセス

ドキュメント内 Distributed via 情報技術解析平成 24 年報平成 25 年 2 月警察庁情報通信局情報技術解析課 (ページ 41-47)

更新・ダウンロード活動

感染活動

観測システム

付録 平成

年度第

／四半期データ

センサーに対するアクセス

付録平成