マルウエアとは 2

マルウェア被害の具体例

比較的新しい大規模なマルウェア被害としては、2016年10月に起こった複数の米国企業が大規模なDDoS攻撃を受けた事例があげられます。

DDoS攻撃とは何かを理解するために、まず、DoS攻撃を知る必要があります。DoS攻撃とは、特定のWEBサイトやサーバに対し、一度に大量のリクエストを送りつけ、サーバの負荷やデータ通信量を増加させ、サーバやWEBサービスをダウンされることを目的とした攻撃です。

このDoS攻撃をより一層悪質にしたのがDDoS攻撃です。DoS攻撃の攻撃元を複数に分散させたものがDDoS攻撃で、DoS攻撃よりもはるかに大量の攻撃をしかけることができます。

この事例では、DDoS攻撃をしかける際、ネットワークカメラや家庭用ルーター等のIoT機器が利用されました。「Mirai」というマルウェアが感染したIoT機器が、特定のWEBサイトに一斉に攻撃をしかけ、Netflix、Twitter、SpotifyなどWEBサイトが長時間にわたってダウンしました。DDoS攻撃の規模は数百Gbps~1Tbpsを超える巨大な規模だったと言われています。

Miraiのソースコードは作者を名乗る人物により公開されましたので、Miraiどのように動作し攻撃をしかけたのか明確に分析されました。

ここでは、Miraiがどのようにネットワークカメラや家庭用ルーター等のIoT機器を利用した攻撃をしかけたのかみていきます。

まず、Miraiがインターネット上でランダムなIPアドレスに対して接続要求を出します。

応答のあったIPアドレスに対し、様々な組み合わせのログインIDとパスワードを送信します。

インターネットに接続されているネットワークカメラや家庭用ルーター機器のうち、メーカー出荷時に設定されているパスワードを変更しないで運用されている機器には簡単にログインできてしまいました。ログイン後、それらのネットワークカメラや家庭用ルーター機器上から、ボットと呼ばれる自動化されたタスクを実行するソフトウェアをダウンロードします。複数のボットをインターネット上でつなぎあわせ、ボットネットを構成します。

ボットネットは、ハッカーからの攻撃命令を待ちます。攻撃者はコマンド&コントロールサーバからボットネットを遠隔操作し、WEBサイトなどに対して一斉に攻撃をしかけます。

この事例において、攻撃元のIoT機器が大量に増えた理由として、一度Miraiに感染したIoT機器が自動的に別の感染できそうな機器をどんどん探していく挙動があげられます。この挙動により、感染した機器が芋づる式に増えていきました。

ログイン情報が初期設定のままのIoT機器が狙われるイメージ 出典: 独立行政法人情報処理推進機構

昨今、インターネットが常時接続になったことや、家庭用ルーターやネットワークカメラが安価になったことにより、インターネットに接続される機器が大量に増えました。さらにここ数年は、インターネットに接続できる家電も増え、それほどインターネットの設定などに詳しくないユーザーが利用する機会も増えてきました。

もし、これらの機器のログインIDとパスワードを初期パスワードから変更しないで使用し続けた場合に、どのようなリスクが待ち受けているか想像できないユーザーもかなりの数にのぼると推測されます。

このように世界中のIoT機器を使って攻撃を断続的に続ければ、利用されている機器の所有者は気がつかない可能性が高いです。たとえば自宅に設置している家庭用ルーターが不正にログインをされて、他人のWEBサイトを攻撃しているとしても、おそらく多くの所有者は気が付かないのではないでしょうか。

Miraiの事例のように世界的に話題になれば、自分の管理している機器は感染してないだろうかと心配になって設定を見直してみる所有者も出てくるかもしれませんが、それはごく一部でしょう。

自分が所有している家庭用ルーターから他人のWEBサイトへの攻撃があまりにもひどいと、契約しているインターネットプロバイダーがその攻撃を検知し、通知が来る可能性もあります。ただ、通知してくるかどうかは、利用しているインターネットプロバイダーのポリシーによったり、攻撃の頻度によったりして、あまり期待できません。

Miraiのソースコードが公開された以降は、その挙動をまねしたMiraiの亜種が開発され、インターネット上では類似した攻撃が増え続けています。

今後は、インターネット接続している機器は、初期パスワードを利用していると不正アクセスされるものと考え、最初に設置する段階から、複雑なパスワードへ変更しておくことが必要になりそうです。