最新のC2を検出するためのボットネット検知技術

主な洞察

  • 署名の有効期間は数ヶ月で失効する――スパムハウスが「Sliver」の追い抜きを確認 Cobalt Strike を追い抜き、トップのC2フレームワークとなった(+58%)。行動シグナルはそれよりも長く持続する。
  • ジッターによって単純な時間間隔マッチングは機能しなくなるが、周波数領域解析を行えば、ビーコンが再出現するたびにそれを検出できる。つまり、周期性は依然としてボットネットに最も特有なネットワーク信号である。
  • DNSは、DGAエントロピー、短いTTL、ファストフラックスによるIPアドレスの頻繁な変更など、最も豊富なシグナルを提供しますが、そのすべてが正当なCDNの動作と重複してしまいます。
  • ほぼ完璧な機械学習のベンチマークは、ベースレートを隠してしまっている。1日数百万件のフローに対して1.53%という偽陽性率は、実用不可能なほど膨大なアラート量となる。
  • Android TVなどのエージェントレス端末にはエンドポイントエージェントが搭載されていないため、ボットネットの検知が可能となるテレメトリはネットワーク経由のものに限られます。

このガイドでは、検出レイヤーにのみ焦点を当てています。具体的には、SOCアナリストや検出エンジニアがネットワーク上のボットネット活動をどのように検知するか、また各手法の限界について解説します。基礎知識(ボットネットとは何か、その基盤となる malware がどのように拡散するか、主要なファミリーなど——については、まずピラーページをご覧ください。

ボットネットの検知とは、既知のシグネチャとの照合ではなく、コマンド&コントロール(C2)トラフィックが生み出すネットワーク上の挙動(ビーコン送信の周期性、DNSの異常、暗号化チャネルのフィンガープリントなど)に基づいて、侵害されたホストを特定する手法です。ボットは機能するために必ずコントローラーと通信する必要があるため、制御チャネルは最も確実に調査すべき対象となります。

署名から挙動まで――ボットネットの検知がIOCの枠を超えて進化した理由

ボットネットはどのように検出されるのでしょうか?実際には、制御チャネルの挙動分析を通じて検出されます。具体的には、ビーコン送信の周期性、ドメイン生成アルゴリズム(DGA)クエリやファストフラックスといった異常なDNSアクティビティ、暗号化セッションのフィンガープリント、およびフローレベルの挙動などが分析対象となります。シグネチャや侵害の兆候(IOC)との照合も依然として有用ですが、それらは、すでに誰かが発見し、報告し、分類済みのインフラストラクチャしか検出できません。

IPアドレスやドメインのレピュテーションリストは、あくまで最低限の対策に過ぎません。ブロックリストは、汎用ボットが先月のインフラを再利用することを阻止し、シグネチャベースの侵入検知・防止システム(IDS/IPS)は、定義が登録されているペイロードやC2ハンドシェイクを確実に検知します。問題は「陳腐化」です。各エントリは、攻撃者が数分で置き換え可能なインフラやツールを記述しているに過ぎないため、リストは公開された瞬間からその価値を失っていくのです。

この変動は数値として把握できる。Spamhausは、2026年1月から6月までの「ボットネット脅威アップデート」において、SliverCobalt Strikeを抜いて最も多く確認されたC2フレームワークとなり、6か月間で58%増加した一方で、同社が追跡したボットネットのコマンド&コントロール(C&C)サーバー数は30%減の14,952台となった。 また、Spamhausは、.cnドメインのC&Cドメイン数が771%急増した一方で、REGRUレジストラにおける悪用された登録件数が90%減少したことを確認した。これは、圧力がかかるとオペレーターが一斉に移転することを示している。フレームワーク固有のシグネチャに依存した検知は、シグネチャの更新サイクルよりも速く移動する標的を追いかけているに等しい。この変動を防御側の視点から把握するには、Sliverのビーコン通信が実際にどのように行われているかを確認してほしい。

行動検知は、この問題を逆転させます。既知の悪意あるアーティファクトを列挙するのではなく、ホストが通常どのように通信するか(宛先、タイミング、通信量、プロトコルなど)を基準として設定し、制御チャネルと整合する逸脱を明らかにします。ネットワーク異常検知は、その基準設定の枠組みを提供します。以下のセクションでは、ボットネットが必然的に生成してしまうシグナルにこれを適用します。ボットは、一夜にしてフレームワーク、ドメイン、サーバーを切り替えることができます。 しかし、ボットにできないのは、チェックインを停止したり、待ち合わせ地点の解決を止めたり、どこへでも同じクライアントを送り続けたりすることをやめることです。そして、これらの行動はいずれも観測可能です。

コマンド&コントロール・ビーコンの検知

ビーコニングとは、ボットが自身の 指揮統制 サーバー:インプラントはスリープ状態になり、目覚め、タスクを要求し、再びスリープ状態に戻る。このリズムは、ネットワーク上で最もボットネット特有の特徴であり、これを検出することはペイロードの問題ではなく、タイミングの問題である。MITREはこの通信を次のように追跡している。 T1071, アプリケーション層プロトコル、というのも、チェックインは通常、通常のHTTPSやDNSを経由して行われるからです。

この単純な検出器は、周期性を基に動作します。ホストのペアごとにフローをグループ化し、連続する接続間の間隔を計算して、規則的すぎる分布を探します。つまり、60秒ごとに一定の間隔でスリープ状態になる場合、到着間隔がほぼ同一となり、これは人間のブラウジングパターンでは生じないものです。数十件の観測データにわたって分散が小さい場合は、強力なビーコンの候補となります。

攻撃者はこのことを知っており、そのため、本格的なC2フレームワークにはすべてジッター機能が搭載されています。各スリープ間隔は設定された範囲内でランダム化され、単純な分散閾値による検知が機能しなくなるまで、到着間隔の分布が広げられます。単純な間隔照合では、ここでは検出できません。しかし、ジッターは個々の間隔をランダム化するだけであり、根本的なスケジュールを排除するわけではありません。

周波数領域解析は、この弱点を突くものです。接続のタイムラインを周波数領域に変換すると(フーリエ変換が標準的な手法です)、繰り返し送信されるビーコンは、その基盤となるチェックイン周波数においてエネルギーをピークに集中させます。ジッターによってピーク幅は広がりますが、ピークそのものが消えることはありません。ビーコンが繰り返し送信される限り、検出すべき基本周波数が存在することになります。この手法はジッターが混入したC2に対して公開の場で実証されています

並べて比較すると――時間領域では、ジッタのあるビーコンのチェックインがタイムライン上でランダムに散らばっているように見えるのに対し、周波数領域では、同じトラフィックが1つの明確なスペクトルピークを形成していることがわかる。
ジッタのあるビーコンは、時間領域ではランダムに見えるが、周波数領域では明確なピークを形成する。

フローレコードは、これらすべてを支える実用的な基盤となります。フローレコードには、ペイロードをキャプチャすることなく、分析に必要なタイムスタンプ、バイト数、および継続時間が含まれています。ネットワークトラフィック分析では、この手法について詳しく解説しています。

導入前に、障害モードを把握しておきましょう。数時間にわたってスリープ状態になる「低頻度・低活動」のビーコンは、発生間隔が長すぎて、分析ウィンドウ内で解決できない場合があります。ユーザーのアクティビティに応じて発火するイベントトリガー型のコールバックは、そもそも安定した頻度を形成することはありません。また、企業環境にはNTP、更新チェック、テレメトリエージェント、監視プローブなど、正当な周期性を持つものが数多く存在するため、周期性だけでは候補を絞り込む材料にはなりますが、決定的な判断材料にはなりません。 アナリストがアラートを確認する前に、候補となるイベントについて、宛先の出現頻度、セッションサイズの一貫性、および次のセクションで説明するDNSシグナルと照らし合わせて検証してください。

DNS ベースの検知 — DGA およびファストフラックス

ボットには「ランデブー問題」という課題がある。つまり、ドメインが差し押さえられた後も、コントローラーを見つけ出さなければならない。そして、主流の2つの解決策である「ドメイン生成アルゴリズム」と「ファストフラックス」は、いずれもDNS上に至る所に痕跡を残してしまう。

DGAはスケジュールに従って大量のドメイン候補を生成し、オペレーターはそのうちごく一部のみを登録します。各ボットは、リストを順に試していき、解決するドメインが見つかるまでこの作業を繰り返します。MITREはこの手法を次のように分類しています。 T1568.002、およびその検出戦略 DET0419 (分析 AN1178AN1181) では、防御担当者が注目した兆候を体系化しています。具体的には、文字エントロピーが高く、実際の言語との語彙的類似性が低いドメイン名、これまで確認されたことのないドメインへの繰り返しクエリ、そして――最も顕著な兆候として――ホストが登録されたことのない候補ドメインを順に試していく過程で発生する、継続的な NXDOMAIN エラーです。

Fast Fluxは、テイクダウンモデルを逆の角度から攻撃します。つまり、ドメインはそのまま残し、その背後にあるインフラをローテーションさせるのです。この 2025年「ファイブ・アイズ」ファスト・フラックスに関する勧告 「シングル・フラックス」とは、Aレコードが侵害されたホスト間でローテーションされるものを指し、「ダブル・フラックス」とは、ネームサーバーも同様にローテーションされるものを指す――MITREの T1568.001 (DET0485)。その観測可能な指標は具体的である。すなわち、TTL(有効期限)の値が極めて短いため、ドメインが3~5分ごとにIPアドレスを変更したり、1日に数十から数百ものIPアドレスが入れ替わったり、ドメインの解決結果ごとに地理的位置情報が不一致になったりすることが挙げられる。また、このアドバイザリでは、IPブロックが失敗する理由についても説明されている。つまり、ブロックリストが広まる前に各アドレスが使用停止となるためである。DNS自体もC2チャネルとして機能し得るが、これは T1071.004 (DET0400).

高出力のDNS信号は、ほとんどのチームが確認する順序で以下の通りです:

  1. 語彙的な意味を持たない、エントロピーが高く、ランダムに見えるドメイン名
  2. 単一の内部ホストからのNXDOMAINの持続的なスパイク
  3. 新規登録されたドメインやこれまでに確認されたことのないドメインに対して、繰り返しクエリが送信されている
  4. 異常に短いDNSのTTL — 数秒から数分
  5. 1つのドメインから、毎日数十~数百のIPアドレスが解決される
  6. ドメインの解決済みIPアドレス間で位置情報の整合性が取れていない
  7. Aレコードのローテーションと並行して、ネームサーバー(NS)レコードのローテーションを行う
  8. IPアドレスが頻繁に変化する、短時間の接続が多数記録されている

シグナルファミリー 求める条件 偽陽性のリスク
DGAドメイン 高エントロピー、NXDOMAINのバースト、未確認のドメイン クラウドで生成されたホスト名やトラッキングドメインも、ランダムに見える
ファストフラックス TTLが非常に短い、ドメインあたりのIPアドレス数が非常に多い、地理位置情報の不一致 CDNとグローバルロードバランサーの動作はまったく同じです

DGAとファストフラックスは、それぞれ異なるDNSシグナルを生成し、それぞれに異なる「良性の類似パターン」が存在します。

2番目のリスク欄は構造的なものであり、この勧告でもそのことが明記されています。すなわち、悪意のあるファストフラックスと、正当なCDNやロードバランサーの動作とを区別することは、「依然として継続的な課題である」ということです。TTLが短く、IPアドレスがローテーションされるという特徴は、すべての主要なCDNに共通しています。両者を区別するのは文脈です。CDNのローテーションは周知のホスティング範囲内に留まるのに対し、ファストフラックスは、プロキシや中継点として悪用された多数の侵害されたホストを次々と巡回します。 まずはリゾルバーのログを基準値として設定してください。上記の各指標は、絶対的な値ではなく、基準からの逸脱度を測る指標に過ぎません。

復号せずに暗号化されたC2を検出する

C2チャネルが暗号化されている場合、MITREはこの手法を次のように分類しています。 T1573, 暗号化チャネル — ペイロードの検査では何も得られず、大規模な復号化は多くの場合現実的ではありません。TLSの傍受には多大なコストがかかる上、証明書を固定するインプラントは、TLS経由での接続を一切拒否してしまうからです。現実的な代替手段は、平文に触れることなくクライアントのフィンガープリントを取得することです。

TLSフィンガープリントは、ハンドシェイク中にクライアントが提示するパラメータ(バージョン、暗号スイート、拡張機能など)をハッシュ化します。これらはすべて、暗号化が始まる前に確認可能です。 C2インプラントは1つのTLSスタックを配布するため、どこに展開されてもそのハンドシェイクは同じように見えます。JA3が最初のフィンガープリントを構築しましたが、2023年にChromiumがTLS拡張機能の順序をランダム化し始めたことで、Webトラフィックの大部分においてJA3の安定性が損なわれ、FoxIOによって仕様が策定された後継技術であるJA4の開発が促進されました。 JA4はこのランダム化の影響を受けず、さらに広範なJA4+スイートはTLSの枠を超えて、TCPトラフィックそのものをフィンガープリント化します。Zeekは2026年1月にJA4のネイティブサポートを追加し、オープンソースのネットワーク監視ツールを使用するあらゆるチームがこの技術を利用できるようにしました。

ここで、一次資料には明記されていない制限事項があります。JA4仕様書もZeekの解説記事も、誤検知、衝突、ドリフトについて定量的な数値を示していません。これらの問題はどちらも現実のものなのです。 フィンガープリントは衝突する――何千もの無害なアプリケーションが共通のTLSライブラリを共有しているため、既知のインプラントと一致するハッシュが、同じスタック上で構築された通常のツールとも一致してしまう可能性がある。また、フィンガープリントはドリフトする――クライアントの更新ごとにハンドシェイクが変更される可能性があり、マッチリストが知らぬ間に古くなってしまう。フィンガープリントは相関を示すシグナルの一つとして扱い、決して決定的な判断材料としては扱わないこと。

これが、回避手法を考慮した検知の一般的な仕組みです。暗号化によってペイロードは削除されますが、ハンドシェイクとタイミングは保持されるため、フィンガープリント分析はビーコンセクションからのメタデータ分析と組み合わせて行われます。セッションの継続時間、パケットサイズの分布、バイト比などは、すべて暗号化されたトラフィック内でも観測可能です。C2の挙動を復号せずにモデル化するべきという根拠は、このスタック全体に貫かれています。

機械学習による検知と誤検知の問題

ボットネット検出に関する公開された機械学習の結果は、非常に目覚ましいものです。2024年の研究では、IoT-23データセットにおいて、偽陽性率(FPR)が1.53%である一方、C2通信のパケットベースのものは100%、フローベースのものは94%を識別できたと報告されています。 2025年のスタッキング分類器に関する論文では、UNSW-NB15データセットにおいて97.94%のテスト精度が報告されており、そのトレーニングセットでは99.99%の精度を達成している。このような数値に基づいて予算を策定する前に、細かい条件をよく確認する必要がある。

まずはデータセットの内容から見ていきましょう。IoT-23は、実際のハードウェア上でmalware 本物のmalware ですが、本番ネットワークではなく、管理された実験室環境でのものです。UNSW-NB15は、IXIAのテストツールによって生成された合成トラフィックです。いずれも、実稼働中の企業ネットワークに見られるような、複雑で変動が激しく、ポリシー違反を含むトラフィックを含んでおらず、まさにこうした環境こそが誤検知の温床となっています。ベンチマークによる精度測定は、そのベンチマークに適合した結果を示すに過ぎません。

さて、計算についてですが――明確にしておきますと、これはあくまで私たちの解釈であり、どちらの論文も主張していることではありません。1.53%というFPRは、ベースレートと掛け合わせると無視できない数値になります。中規模企業にとっては控えめなボリュームである1日100万件のフローに対して、1.53%は1日あたりおよそ15,300件の誤警報に相当します。 SOCでは、これほどの件数を精査することはできません。同様の論理から、99.99%という学習精度は典型的な過学習の兆候であると解釈しています。つまり、モデルは実験環境を「暗記」してしまっただけであり、その知識は他の環境には転移しないのです。

データセット 報告された指標 なぜ転送されないのか
IoT-23(2024年の調査) 1.53%のFPR;パケットベースで100%、フローベースで94%のC2識別率 本物のmalwareですが、管理された実験室環境下でのものであり、企業における発生率はゼロです
UNSW-NB15(2025年の調査) 97.94%の検査精度 IXIAによって生成された合成トラフィック。学習精度が99.99%であることから、過学習が疑われる(当社の見解)。

ベンチマークの結果は、ベンチマークに対する適合度を測定するものであり、実際の企業トラフィックにおけるパフォーマンスを測定するものではありません。

こうした事情があっても、機械学習が無意味になるわけではありません。むしろ、精度を高めるための緻密な調整こそが真の作業となるのです。モデルを、範囲が狭く、基準が明確に定められた質問に限定し、その出力を前述の周期性やDNSシグナルと関連付け、脅威インテリジェンスを用いて候補を精査し、アラートが発生する前に既知の無害な周期的なサービスを排除します。こうした微調整のプロセスが「検出エンジニアリング」であり、これこそがベンチマークと検出システムを分ける要素なのです。 この教訓はベンダーに依存しないものです。あらゆる検出カテゴリがボットネットの誤検知に悩まされる理由は、特定の製品のモデルではなく、ベースレートにあるのです。

分散型、エージェントレス、およびP2P型ボットネットの検知

現代のボットネットは、セキュリティチームが管理していないデバイスから構成されるケースがますます増えています。Cloudflareのネットワークにおいて、2025年後半に発生した過去最大規模のDDoS攻撃(Cloudflareはこれを「Aisuru-Kimwolf」ボットネットによるものと特定しています)は、「主にAndroid TV」からなる、推定100万~400万台のホスト群に起因するものでした。 2026年3月、Krebs on Securityの報道によると、米国司法省と国際的なパートナーは、300万台以上のIoTデバイスを乗っ取っていた4つのボットネットを支えるインフラを解体したテレビにエンドポイントエージェントをインストールする人はいない。管理されていないIoTデバイスでは、その構造上、エンドポイントのテレメトリ欄は空欄であり、検知が行えるのはネットワーク上のみである。

テレメトリ それが捉えるもの 死角 最適
エンドポイントエージェント プロセスアクティビティ、ファイルへの書き込み、ローカルへの永続化 エージェントレスおよび管理対象外のデバイス。エージェントがインストールされていないすべてのデバイス どのプロセスが侵害された状態にあるかを確認する
ネットワーク デバイスが生成するあらゆる通信――ビーコン、DNS、フィンガープリントなど ネットワーク通信を一切行わない、純粋にホスト内での処理 連携、規模、および管理対象外のデバイス

エンドポイントとネットワークのテレメトリは、ボットネットの異なる側面を捉えており、エージェントレスなデバイスをカバーしているのはネットワーク側のみである。

住宅用プロキシ・ボットネットは、この問題をさらに深刻化させている。2026年、Googleの脅威インテリジェンスグループ(GTIG)は、NetNut/Popaプロキシネットワークについて次のように説明した。スマートテレビやストリーミングボックスに組み込まれたSDKを通じて登録されたデバイスは少なくとも200万台に上り、1週間だけで、NetNutの出口ノードとみられるものを経由する316の異なる脅威クラスターが観測された。 このトラフィックは一般の消費者向けISPのアドレス空間から発信されるため、レピュテーションや地理的位置に基づくヒューリスティックでは「無害」と判定されるが、ファストフラックスに関するアドバイザリで指摘されているフローや地理的位置に関するプリミティブは依然として適用される。

ピア・ツー・ピア(P2P)アーキテクチャでは、中央サーバーが完全に排除されます。つまり、シンクホール化できる単一のC2が存在せず、フロー分析だけでは検知は不可能です。その代わりに、グラフベースの手法を用いて通信トポロジーをモデル化します。公開されているトポロジー検出器のF1スコアは平均99.140%でしたが、これは2020年のベンチマークトポロジー上での結果です。これは、このアプローチが有効であることを示す研究レベルの証拠として捉えるべきであり、実用化された機能とは見なすべきではありません。

サービス停止措置は、逆の視点から同じ事実を物語っている。ユーロポールは、「オペレーション・エンドゲームにおいて1,025台のサーバーを押収したと報告しているが、この作戦が効果を上げたのは、まさにC2が集中管理されていたからに他ならない。ファストフラックス、DGA、P2Pといった手法は、すべてこの脆弱性を回避するために存在する。だからこそ、ボットネットに徴用されたデバイスの特定を、サービス停止措置だけに委ねることはできないのである。

ボットネットの検知をMITRE ATT&CK NIST CSFにマッピングする

フレームワークマッピングにより、この作業の監査可能性が確保されます。現在の MITRE ATT&CK バージョン19.1 — 15の戦術。従来の「防御回避」は「ステルス」に分割され(0005) および防御機能の低下(0112) — そして、その「検出戦略」および「分析」の仕組みは、 v18、2025年10月28日リリース. について NIST CSF 2.0(CSWP 29、2024年2月26日公開) 一方、以下の条件下での継続的なネットワーク監視 DE.CM-01 が主要なアンカーであり、 DE.CM-09 エンドポイントおよびコンピューティングの監視を網羅しており、 DE.AE-02, DE.AE-03そして DE.AE-07 イベント分析、多情報源相関分析、および情報充実化を網羅しています。以下の対応表では、本ガイドに記載されている各シグナルを、これら2つのフレームワークと関連付け、さらに皆様のより広範な 脅威の検知 プログラム。

検知信号 MITRE ATT&CK 検出戦略 NIST CSF 2.0
C2ビーコン T1071 - DE.AE-02
DGAドメイン T1568.002 DET0419 DE.CM-01
ファストフラックス T1568.001 DET0485 DE.CM-01
DNS C2 T1071.004 DET0400 DE.CM-01
暗号化されたC2 T1573 DET0273 DE.CM-01

このページに掲載されている各ボットネット検知シグナルは、それぞれMITRE ATT&CK およびNIST CSF 2.0の「DETECT」サブカテゴリに対応しています。

ボットネット検知における最新の手法

以上のすべては、ある1つの運用姿勢に集約されます。それは、「侵害を前提とし、ネットワークを監視し、挙動をモデル化する」というものです。なぜなら、最も発見すべきボットネットは、管理対象外のデバイス上で、復号できない通信経路を介して、いかなるブロックリストにも登録されていないインフラを利用して動作しているからです。ネットワーク検出・対応(NDR)とは、こうした手法が、単発的なハンティングではなく、設計通りに相関付けられた検出として継続的に実行される運用層のことです。ボットネット検知ツールの幅広い市場では、このスタックの一部が実装されています。その市場状況を評価することは、その基盤となる技術を理解することとは別の作業です。

Vectra AIによるボットネット検知のアプローチ

Vectra AIは、ボットネットの検知をシグネチャベースの問題ではなく、行動モデリングの問題として扱います。Attack Signal Intelligence 、ネットワーク上でのコマンド&コントロール(C&C)の挙動(ビーコン送信の頻度、ドメイン生成と一致するDNSパターン、暗号化チャネルの特性など)Attack Signal Intelligence 、ホスト間でそれらの挙動を相関分析することで、本物の制御チャネルと通常の周期的な通信を区別します。この分析はネットワークベースであるため、エンドポイントのテレメトリデータが存在しないエージェントレスデバイスに対しても同様に適用可能です。

結論

ボットネットの検知は、攻撃者が追跡できない領域、すなわちボットが機能するために示さなければならない挙動へと移行しています。シグネチャやブロックリストは依然として一般的なノイズをフィルタリングしますが、持続的なシグナルとは、ジッターの影響を受けない周期性、ドメインの頻繁な変更にも左右されないDNSの挙動、暗号化の影響を受けないフィンガープリントやタイミング、そしてエージェントが存在しなくても維持されるネットワーク可視性です。これら4つの要素を構築し、MITRE ATT&CK CSFにマッピングした上で、ベースレートを考慮して調整を行ってください。

よくある質問 (FAQ)

ボットネットとは何か?

ボットネットはどのように拡散するのか?

サイバー犯罪者によるボットネットの一般的な利用方法とは?

組織はボットネットの存在をどのように検知 できるのか?

ボットネット感染を防ぐには、どのような戦略が有効か?

ボット、ボットネット、ゾンビコンピュータの違いは何ですか?

ネットワーク上でボットネットのトラフィックはどのように見えるのか?

ボットネットはコマンド&コントロール(C2)サーバーとどのように通信するのか?

ボットネット・アズ・ア・サービス(BaaS)とは何か?

デバイスがボットネットの一部である兆候は何ですか?