このガイドでは、検出レイヤーにのみ焦点を当てています。具体的には、SOCアナリストや検出エンジニアがネットワーク上のボットネット活動をどのように検知するか、また各手法の限界について解説します。基礎知識(ボットネットとは何か、その基盤となる malware がどのように拡散するか、主要なファミリーなど——については、まずピラーページをご覧ください。
ボットネットの検知とは、既知のシグネチャとの照合ではなく、コマンド&コントロール(C2)トラフィックが生み出すネットワーク上の挙動(ビーコン送信の周期性、DNSの異常、暗号化チャネルのフィンガープリントなど)に基づいて、侵害されたホストを特定する手法です。ボットは機能するために必ずコントローラーと通信する必要があるため、制御チャネルは最も確実に調査すべき対象となります。
ボットネットはどのように検出されるのでしょうか?実際には、制御チャネルの挙動分析を通じて検出されます。具体的には、ビーコン送信の周期性、ドメイン生成アルゴリズム(DGA)クエリやファストフラックスといった異常なDNSアクティビティ、暗号化セッションのフィンガープリント、およびフローレベルの挙動などが分析対象となります。シグネチャや侵害の兆候(IOC)との照合も依然として有用ですが、それらは、すでに誰かが発見し、報告し、分類済みのインフラストラクチャしか検出できません。
IPアドレスやドメインのレピュテーションリストは、あくまで最低限の対策に過ぎません。ブロックリストは、汎用ボットが先月のインフラを再利用することを阻止し、シグネチャベースの侵入検知・防止システム(IDS/IPS)は、定義が登録されているペイロードやC2ハンドシェイクを確実に検知します。問題は「陳腐化」です。各エントリは、攻撃者が数分で置き換え可能なインフラやツールを記述しているに過ぎないため、リストは公開された瞬間からその価値を失っていくのです。
この変動は数値として把握できる。Spamhausは、2026年1月から6月までの「ボットネット脅威アップデート」において、SliverCobalt Strikeを抜いて最も多く確認されたC2フレームワークとなり、6か月間で58%増加した一方で、同社が追跡したボットネットのコマンド&コントロール(C&C)サーバー数は30%減の14,952台となった。 また、Spamhausは、.cnドメインのC&Cドメイン数が771%急増した一方で、REGRUレジストラにおける悪用された登録件数が90%減少したことを確認した。これは、圧力がかかるとオペレーターが一斉に移転することを示している。フレームワーク固有のシグネチャに依存した検知は、シグネチャの更新サイクルよりも速く移動する標的を追いかけているに等しい。この変動を防御側の視点から把握するには、Sliverのビーコン通信が実際にどのように行われているかを確認してほしい。
行動検知は、この問題を逆転させます。既知の悪意あるアーティファクトを列挙するのではなく、ホストが通常どのように通信するか(宛先、タイミング、通信量、プロトコルなど)を基準として設定し、制御チャネルと整合する逸脱を明らかにします。ネットワーク異常検知は、その基準設定の枠組みを提供します。以下のセクションでは、ボットネットが必然的に生成してしまうシグナルにこれを適用します。ボットは、一夜にしてフレームワーク、ドメイン、サーバーを切り替えることができます。 しかし、ボットにできないのは、チェックインを停止したり、待ち合わせ地点の解決を止めたり、どこへでも同じクライアントを送り続けたりすることをやめることです。そして、これらの行動はいずれも観測可能です。
ビーコニングとは、ボットが自身の 指揮統制 サーバー:インプラントはスリープ状態になり、目覚め、タスクを要求し、再びスリープ状態に戻る。このリズムは、ネットワーク上で最もボットネット特有の特徴であり、これを検出することはペイロードの問題ではなく、タイミングの問題である。MITREはこの通信を次のように追跡している。 T1071, アプリケーション層プロトコル、というのも、チェックインは通常、通常のHTTPSやDNSを経由して行われるからです。
この単純な検出器は、周期性を基に動作します。ホストのペアごとにフローをグループ化し、連続する接続間の間隔を計算して、規則的すぎる分布を探します。つまり、60秒ごとに一定の間隔でスリープ状態になる場合、到着間隔がほぼ同一となり、これは人間のブラウジングパターンでは生じないものです。数十件の観測データにわたって分散が小さい場合は、強力なビーコンの候補となります。
攻撃者はこのことを知っており、そのため、本格的なC2フレームワークにはすべてジッター機能が搭載されています。各スリープ間隔は設定された範囲内でランダム化され、単純な分散閾値による検知が機能しなくなるまで、到着間隔の分布が広げられます。単純な間隔照合では、ここでは検出できません。しかし、ジッターは個々の間隔をランダム化するだけであり、根本的なスケジュールを排除するわけではありません。
周波数領域解析は、この弱点を突くものです。接続のタイムラインを周波数領域に変換すると(フーリエ変換が標準的な手法です)、繰り返し送信されるビーコンは、その基盤となるチェックイン周波数においてエネルギーをピークに集中させます。ジッターによってピーク幅は広がりますが、ピークそのものが消えることはありません。ビーコンが繰り返し送信される限り、検出すべき基本周波数が存在することになります。この手法は、ジッターが混入したC2に対して公開の場で実証されています。

フローレコードは、これらすべてを支える実用的な基盤となります。フローレコードには、ペイロードをキャプチャすることなく、分析に必要なタイムスタンプ、バイト数、および継続時間が含まれています。ネットワークトラフィック分析では、この手法について詳しく解説しています。
導入前に、障害モードを把握しておきましょう。数時間にわたってスリープ状態になる「低頻度・低活動」のビーコンは、発生間隔が長すぎて、分析ウィンドウ内で解決できない場合があります。ユーザーのアクティビティに応じて発火するイベントトリガー型のコールバックは、そもそも安定した頻度を形成することはありません。また、企業環境にはNTP、更新チェック、テレメトリエージェント、監視プローブなど、正当な周期性を持つものが数多く存在するため、周期性だけでは候補を絞り込む材料にはなりますが、決定的な判断材料にはなりません。 アナリストがアラートを確認する前に、候補となるイベントについて、宛先の出現頻度、セッションサイズの一貫性、および次のセクションで説明するDNSシグナルと照らし合わせて検証してください。
ボットには「ランデブー問題」という課題がある。つまり、ドメインが差し押さえられた後も、コントローラーを見つけ出さなければならない。そして、主流の2つの解決策である「ドメイン生成アルゴリズム」と「ファストフラックス」は、いずれもDNS上に至る所に痕跡を残してしまう。
DGAはスケジュールに従って大量のドメイン候補を生成し、オペレーターはそのうちごく一部のみを登録します。各ボットは、リストを順に試していき、解決するドメインが見つかるまでこの作業を繰り返します。MITREはこの手法を次のように分類しています。 T1568.002、およびその検出戦略 DET0419 (分析 AN1178–AN1181) では、防御担当者が注目した兆候を体系化しています。具体的には、文字エントロピーが高く、実際の言語との語彙的類似性が低いドメイン名、これまで確認されたことのないドメインへの繰り返しクエリ、そして――最も顕著な兆候として――ホストが登録されたことのない候補ドメインを順に試していく過程で発生する、継続的な NXDOMAIN エラーです。
Fast Fluxは、テイクダウンモデルを逆の角度から攻撃します。つまり、ドメインはそのまま残し、その背後にあるインフラをローテーションさせるのです。この 2025年「ファイブ・アイズ」ファスト・フラックスに関する勧告 「シングル・フラックス」とは、Aレコードが侵害されたホスト間でローテーションされるものを指し、「ダブル・フラックス」とは、ネームサーバーも同様にローテーションされるものを指す――MITREの T1568.001 (DET0485)。その観測可能な指標は具体的である。すなわち、TTL(有効期限)の値が極めて短いため、ドメインが3~5分ごとにIPアドレスを変更したり、1日に数十から数百ものIPアドレスが入れ替わったり、ドメインの解決結果ごとに地理的位置情報が不一致になったりすることが挙げられる。また、このアドバイザリでは、IPブロックが失敗する理由についても説明されている。つまり、ブロックリストが広まる前に各アドレスが使用停止となるためである。DNS自体もC2チャネルとして機能し得るが、これは T1071.004 (DET0400).
高出力のDNS信号は、ほとんどのチームが確認する順序で以下の通りです:
DGAとファストフラックスは、それぞれ異なるDNSシグナルを生成し、それぞれに異なる「良性の類似パターン」が存在します。
2番目のリスク欄は構造的なものであり、この勧告でもそのことが明記されています。すなわち、悪意のあるファストフラックスと、正当なCDNやロードバランサーの動作とを区別することは、「依然として継続的な課題である」ということです。TTLが短く、IPアドレスがローテーションされるという特徴は、すべての主要なCDNに共通しています。両者を区別するのは文脈です。CDNのローテーションは周知のホスティング範囲内に留まるのに対し、ファストフラックスは、プロキシや中継点として悪用された多数の侵害されたホストを次々と巡回します。 まずはリゾルバーのログを基準値として設定してください。上記の各指標は、絶対的な値ではなく、基準からの逸脱度を測る指標に過ぎません。
C2チャネルが暗号化されている場合、MITREはこの手法を次のように分類しています。 T1573, 暗号化チャネル — ペイロードの検査では何も得られず、大規模な復号化は多くの場合現実的ではありません。TLSの傍受には多大なコストがかかる上、証明書を固定するインプラントは、TLS経由での接続を一切拒否してしまうからです。現実的な代替手段は、平文に触れることなくクライアントのフィンガープリントを取得することです。
TLSフィンガープリントは、ハンドシェイク中にクライアントが提示するパラメータ(バージョン、暗号スイート、拡張機能など)をハッシュ化します。これらはすべて、暗号化が始まる前に確認可能です。 C2インプラントは1つのTLSスタックを配布するため、どこに展開されてもそのハンドシェイクは同じように見えます。JA3が最初のフィンガープリントを構築しましたが、2023年にChromiumがTLS拡張機能の順序をランダム化し始めたことで、Webトラフィックの大部分においてJA3の安定性が損なわれ、FoxIOによって仕様が策定された後継技術であるJA4の開発が促進されました。 JA4はこのランダム化の影響を受けず、さらに広範なJA4+スイートはTLSの枠を超えて、TCPトラフィックそのものをフィンガープリント化します。Zeekは2026年1月にJA4のネイティブサポートを追加し、オープンソースのネットワーク監視ツールを使用するあらゆるチームがこの技術を利用できるようにしました。
ここで、一次資料には明記されていない制限事項があります。JA4仕様書もZeekの解説記事も、誤検知、衝突、ドリフトについて定量的な数値を示していません。これらの問題はどちらも現実のものなのです。 フィンガープリントは衝突する――何千もの無害なアプリケーションが共通のTLSライブラリを共有しているため、既知のインプラントと一致するハッシュが、同じスタック上で構築された通常のツールとも一致してしまう可能性がある。また、フィンガープリントはドリフトする――クライアントの更新ごとにハンドシェイクが変更される可能性があり、マッチリストが知らぬ間に古くなってしまう。フィンガープリントは相関を示すシグナルの一つとして扱い、決して決定的な判断材料としては扱わないこと。
これが、回避手法を考慮した検知の一般的な仕組みです。暗号化によってペイロードは削除されますが、ハンドシェイクとタイミングは保持されるため、フィンガープリント分析はビーコンセクションからのメタデータ分析と組み合わせて行われます。セッションの継続時間、パケットサイズの分布、バイト比などは、すべて暗号化されたトラフィック内でも観測可能です。C2の挙動を復号せずにモデル化するべきという根拠は、このスタック全体に貫かれています。
ボットネット検出に関する公開された機械学習の結果は、非常に目覚ましいものです。2024年の研究では、IoT-23データセットにおいて、偽陽性率(FPR)が1.53%である一方、C2通信のパケットベースのものは100%、フローベースのものは94%を識別できたと報告されています。 2025年のスタッキング分類器に関する論文では、UNSW-NB15データセットにおいて97.94%のテスト精度が報告されており、そのトレーニングセットでは99.99%の精度を達成している。このような数値に基づいて予算を策定する前に、細かい条件をよく確認する必要がある。
まずはデータセットの内容から見ていきましょう。IoT-23は、実際のハードウェア上でmalware 本物のmalware ですが、本番ネットワークではなく、管理された実験室環境でのものです。UNSW-NB15は、IXIAのテストツールによって生成された合成トラフィックです。いずれも、実稼働中の企業ネットワークに見られるような、複雑で変動が激しく、ポリシー違反を含むトラフィックを含んでおらず、まさにこうした環境こそが誤検知の温床となっています。ベンチマークによる精度測定は、そのベンチマークに適合した結果を示すに過ぎません。
さて、計算についてですが――明確にしておきますと、これはあくまで私たちの解釈であり、どちらの論文も主張していることではありません。1.53%というFPRは、ベースレートと掛け合わせると無視できない数値になります。中規模企業にとっては控えめなボリュームである1日100万件のフローに対して、1.53%は1日あたりおよそ15,300件の誤警報に相当します。 SOCでは、これほどの件数を精査することはできません。同様の論理から、99.99%という学習精度は典型的な過学習の兆候であると解釈しています。つまり、モデルは実験環境を「暗記」してしまっただけであり、その知識は他の環境には転移しないのです。
ベンチマークの結果は、ベンチマークに対する適合度を測定するものであり、実際の企業トラフィックにおけるパフォーマンスを測定するものではありません。
こうした事情があっても、機械学習が無意味になるわけではありません。むしろ、精度を高めるための緻密な調整こそが真の作業となるのです。モデルを、範囲が狭く、基準が明確に定められた質問に限定し、その出力を前述の周期性やDNSシグナルと関連付け、脅威インテリジェンスを用いて候補を精査し、アラートが発生する前に既知の無害な周期的なサービスを排除します。こうした微調整のプロセスが「検出エンジニアリング」であり、これこそがベンチマークと検出システムを分ける要素なのです。 この教訓はベンダーに依存しないものです。あらゆる検出カテゴリがボットネットの誤検知に悩まされる理由は、特定の製品のモデルではなく、ベースレートにあるのです。
現代のボットネットは、セキュリティチームが管理していないデバイスから構成されるケースがますます増えています。Cloudflareのネットワークにおいて、2025年後半に発生した過去最大規模のDDoS攻撃(Cloudflareはこれを「Aisuru-Kimwolf」ボットネットによるものと特定しています)は、「主にAndroid TV」からなる、推定100万~400万台のホスト群に起因するものでした。 2026年3月、Krebs on Securityの報道によると、米国司法省と国際的なパートナーは、300万台以上のIoTデバイスを乗っ取っていた4つのボットネットを支えるインフラを解体した。テレビにエンドポイントエージェントをインストールする人はいない。管理されていないIoTデバイスでは、その構造上、エンドポイントのテレメトリ欄は空欄であり、検知が行えるのはネットワーク上のみである。
エンドポイントとネットワークのテレメトリは、ボットネットの異なる側面を捉えており、エージェントレスなデバイスをカバーしているのはネットワーク側のみである。
住宅用プロキシ・ボットネットは、この問題をさらに深刻化させている。2026年、Googleの脅威インテリジェンスグループ(GTIG)は、NetNut/Popaプロキシネットワークについて次のように説明した。スマートテレビやストリーミングボックスに組み込まれたSDKを通じて登録されたデバイスは少なくとも200万台に上り、1週間だけで、NetNutの出口ノードとみられるものを経由する316の異なる脅威クラスターが観測された。 このトラフィックは一般の消費者向けISPのアドレス空間から発信されるため、レピュテーションや地理的位置に基づくヒューリスティックでは「無害」と判定されるが、ファストフラックスに関するアドバイザリで指摘されているフローや地理的位置に関するプリミティブは依然として適用される。
ピア・ツー・ピア(P2P)アーキテクチャでは、中央サーバーが完全に排除されます。つまり、シンクホール化できる単一のC2が存在せず、フロー分析だけでは検知は不可能です。その代わりに、グラフベースの手法を用いて通信トポロジーをモデル化します。公開されているトポロジー検出器のF1スコアは平均99.140%でしたが、これは2020年のベンチマークトポロジー上での結果です。これは、このアプローチが有効であることを示す研究レベルの証拠として捉えるべきであり、実用化された機能とは見なすべきではありません。
サービス停止措置は、逆の視点から同じ事実を物語っている。ユーロポールは、「オペレーション・エンドゲーム」において1,025台のサーバーを押収したと報告しているが、この作戦が効果を上げたのは、まさにC2が集中管理されていたからに他ならない。ファストフラックス、DGA、P2Pといった手法は、すべてこの脆弱性を回避するために存在する。だからこそ、ボットネットに徴用されたデバイスの特定を、サービス停止措置だけに委ねることはできないのである。
フレームワークマッピングにより、この作業の監査可能性が確保されます。現在の MITRE ATT&CK バージョン19.1 — 15の戦術。従来の「防御回避」は「ステルス」に分割され(0005) および防御機能の低下(0112) — そして、その「検出戦略」および「分析」の仕組みは、 v18、2025年10月28日リリース. について NIST CSF 2.0(CSWP 29、2024年2月26日公開) 一方、以下の条件下での継続的なネットワーク監視 DE.CM-01 が主要なアンカーであり、 DE.CM-09 エンドポイントおよびコンピューティングの監視を網羅しており、 DE.AE-02, DE.AE-03そして DE.AE-07 イベント分析、多情報源相関分析、および情報充実化を網羅しています。以下の対応表では、本ガイドに記載されている各シグナルを、これら2つのフレームワークと関連付け、さらに皆様のより広範な 脅威の検知 プログラム。
このページに掲載されている各ボットネット検知シグナルは、それぞれMITRE ATT&CK およびNIST CSF 2.0の「DETECT」サブカテゴリに対応しています。
以上のすべては、ある1つの運用姿勢に集約されます。それは、「侵害を前提とし、ネットワークを監視し、挙動をモデル化する」というものです。なぜなら、最も発見すべきボットネットは、管理対象外のデバイス上で、復号できない通信経路を介して、いかなるブロックリストにも登録されていないインフラを利用して動作しているからです。ネットワーク検出・対応(NDR)とは、こうした手法が、単発的なハンティングではなく、設計通りに相関付けられた検出として継続的に実行される運用層のことです。ボットネット検知ツールの幅広い市場では、このスタックの一部が実装されています。その市場状況を評価することは、その基盤となる技術を理解することとは別の作業です。
Vectra AIは、ボットネットの検知をシグネチャベースの問題ではなく、行動モデリングの問題として扱います。Attack Signal Intelligence 、ネットワーク上でのコマンド&コントロール(C&C)の挙動(ビーコン送信の頻度、ドメイン生成と一致するDNSパターン、暗号化チャネルの特性など)Attack Signal Intelligence 、ホスト間でそれらの挙動を相関分析することで、本物の制御チャネルと通常の周期的な通信を区別します。この分析はネットワークベースであるため、エンドポイントのテレメトリデータが存在しないエージェントレスデバイスに対しても同様に適用可能です。
ボットネットの検知は、攻撃者が追跡できない領域、すなわちボットが機能するために示さなければならない挙動へと移行しています。シグネチャやブロックリストは依然として一般的なノイズをフィルタリングしますが、持続的なシグナルとは、ジッターの影響を受けない周期性、ドメインの頻繁な変更にも左右されないDNSの挙動、暗号化の影響を受けないフィンガープリントやタイミング、そしてエージェントが存在しなくても維持されるネットワーク可視性です。これら4つの要素を構築し、MITRE ATT&CK CSFにマッピングした上で、ベースレートを考慮して調整を行ってください。
ボットネットとは、インターネットに接続されたデバイスがマルウェアに感染したネットワークである。 マルウェアに感染したインターネット接続デバイスのネットワークであり、遠隔の攻撃者がそれらを制御できるようにします。これらの侵害されたデバイスは「ボット」と呼ばれ、コンピュータ、モバイルデバイス、IoTデバイスなどが含まれます。
ボットネットは以下のような様々な方法で拡散します。 フィッシング 電子メール、ソフトウェアやデバイスの脆弱性の悪用、ドライブ・バイ・ダウンロード、悪意のあるウェブサイトの利用など、さまざまな方法で拡散します。デバイスが侵害されると、そのデバイスを使用して他のデバイスを感染させ、ボットネットを拡大することができます。
一般的な使用方法としては、ウェブサイトやネットワークを圧倒してダウンさせるDDoS攻撃の開始、スパムメールの配信、クリック詐欺キャンペーンの実行、個人情報や財務情報の窃盗、ランサムウェアの展開などがある。
検出方法には、ネットワーク・トラフィックを監視して異常なアクティビティがないか調べたり、ログを分析して侵害の兆候を探ったり、侵入検知システム (IDS) を採用したり、ウイルス対策やマルウェア対策ソリューションを使って悪意のあるソフトウェアを特定したりすることが含まれる。
効果的な予防策には、以下のようなものがある:ファイアウォール、ウイルス対策プログラム、電子メールフィルターなどの強固なセキュリティ対策を導入すること。ソフトウェアやオペレーティング・システムを定期的に更新し、パッチを適用して脆弱性を解消する。のリスクについて従業員を教育する。 フィッシング や悪意のあるダウンロードのリスクについて従業員を教育する。感染拡大を抑えるためにネットワークをセグメント化する。ネットワーク振る舞い 分析による異常の検知
ボットとは、マルウェアに感染した単一のデバイスである。 マルウェア マルウェアに感染した単一のデバイスであり、遠隔操作が可能となる。ボットネットとは、攻撃者(しばしばボットハーダーと呼ばれる)の制御下で連携して動作する、多数の感染デバイスの協調ネットワークである。ゾンビコンピュータ とは、所有者の認識なしに積極的にコマンドを受信し、悪意のある行動を実行しているボットを指す 。実際には、現代のボットネットにはコンピュータ、サーバー、モバイルデバイス、IoTシステムが混在していることが多い。
ボットネットのトラフィックは、通常、大規模な急増ではなく、小規模で反復的な行動として現れます。一般的な指標には、定期的なアウトバウンド「ビーコン」接続、異常なDNS活動、および環境内の他のデバイスがほとんど接続しない宛先との通信が含まれます。ボットネットのトラフィックは暗号化され、低容量であることが多いため、通常の活動に紛れ込む可能性があります。これらのネットワークパターンをエンドポイントの行動と相関させることで、ボットネットの活動と良性の異常を区別するのに役立ちます。
ボットネットは、指示の受信や更新のためにコマンド&コントロール(C2)インフラストラクチャと通信する マルウェア、盗んだデータを送信します。この通信には、集中型サーバー、ピアツーピアネットワーク、またはハイブリッドモデルが使用される場合があります。検出を回避するため、攻撃者はC2トラフィックを暗号化し、ドメインやインフラを頻繁にローテーションさせることが多いです。それでも、C2活動は繰り返し行われるアウトバウンド接続、異常なDNSルックアップ、短命または珍しい宛先へのトラフィックなど、認識可能なパターンに従うことがよくあります。
ボットネット・アズ・ア・サービス(BaaS)とは、サイバー犯罪者が独自のボットネットを構築する代わりに、感染したデバイスへのアクセス権をレンタルするモデルである。購入者はレンタルしたボットネットを利用して、DDoS攻撃を仕掛けたり、スパムを配布したり、認証情報を収集したり、マルウェアを配信したりできる。 マルウェアを配布するためにレンタルしたボットネットを利用できます。このモデルではボットネットを迅速に再利用または転用できるため、参入障壁が低下し攻撃規模が増大します。ボットネットが停止された後も、感染したエンドポイントは新たな運営者によって再利用される可能性があります。
デバイスがボットネットの一部である可能性を示す兆候には、原因不明の動作遅延、異常なCPUまたはネットワーク使用量、予期せぬバックグラウンドプロセスが含まれます。ネットワーク上では、繰り返されるアウトバウンド接続、異常なDNS動作、または不審な宛先との通信が指標となる場合があります。侵害されたデバイスは、スパム送信や認証情報の悪用によるアカウントロックアウトを引き起こすこともあります。単一の兆候だけでは感染を確定できませんが、複数の関連する兆候がボットネット活動を強く示唆します。