IOTセキュリティ 3

膨大なIoT機器が襲い掛かってくる恐怖

前回、インターネットに接続されているネットワークカメラが、工場出荷時のパスワードをそのまま使用していたため、映像を覗き見られたなど不正アクセスされた事例をみてきました。

同様に安易なパスワードを設定してIoT機器を運用していたところ、マルウェアに利用され、大規模なサイバー攻撃が引き起こされた事例をみてみましょう。

2016年9月から10月にかけて、IoT機器を狙うマルウェア「Mirai」によって、史上最大規模のDDoS攻撃が発生しました。

DDoS攻撃とは、DoS攻撃をより悪質にした攻撃手法です。DoS攻撃とは、英語Denial of Service attackの略語で、主にサーバの負荷や通信量を増加させ、サーバの機能を著しく低下させる攻撃です。

DDoS攻撃は、DoS攻撃の攻撃元を分散させ、大量の機器から一斉に攻撃をしかけてくる手法です。DDoS攻撃は、セキュリティ業界では最も防衛が難しい攻撃と言われています。攻撃目的はいやがらせであったり愉快犯であったり様々ですが、多くの場合は攻撃目的が不明です。

インターネット上のおびただしい数のIoT機器がMiraiに感染しました。Miraiに感染したIoT機器は、その他に感染可能なIoT機器を探索して攻撃者に報告し、ボットネットを構築していきます。

ボットネットとは、ボットをネットワークで束ねたもので、規模は数百~数千・数万など様々です。

ボットとは、コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータをネットワーク(インターネット)を通じて外部から操作することを目的として作成されたプログラムです。

簡単に言うと、Miraiに感染したIoT機器が、ネットワーク経由で外部からハッカーにより操作可能な機器(ボット)になり、さらにネットワーク経由で感染できるIoT機器へ増殖していき(ボットネット化)、操作可能な機器を増やしていきました。

これらのボットネット化したIoT機器は、C&Cサーバと呼ばれる、ボットネットへ攻撃命令などを伝えるサーバと60秒毎に通信します。そして、C&Cサーバからの攻撃命令を受信して、指定された攻撃対象にDDoS攻撃を実施しました。

2016年10月21日、Miraiに感染した大量のIoTデバイスにより、DNSサーバプロバイダーのダインが大規模DDos攻撃を受けました。その結果、GitHub・Twitter・Reddit・Airbnb・ネットフリックスといった世界有数の巨大サイトを含めた、多くのウェブサイトでアクセスできなくなりました。報道によると、このときの攻撃ではダインは10万台以上ものIoT機器から攻撃を受けたとのことです。

同様にDDos攻撃を受けた世界的に有名なセキュリティ情報ブログ「Krebs on Security」は、同サイトに向けて665Gbpsもの帯域がDDoS攻撃に使われました。この規模は当時史上最大規模であったとみられています。フランスのウェブホスティング企業OVHに対して行われたDDos攻撃では1Tbpsを記録したと報道されています。

「IoT乗っ取り」攻撃でツイッターなどがダウン

明らかになったMiraiの挙動

Miraiのプログラムコードは、2016年10月にインターネットの掲示板サイトに公開されました。そのため、どのようにIoT機器に感染して、どのようにIot機器をボット化し、その後、どのようにボットネットを構築し、どのようにDDoS攻撃を加えたかなどその挙動が明らかにされました。

そのため、別のハッカーにより異なる感染方法、攻撃方法を持つ「亜種」のマルウェアが作成されました。

その反面、Mirai自体の挙動が明らかになったため、今後のIoT機器のセキュリティ対策の「生きた教材」になり、様々な機関やサイトでIoTがマルウェアに感染しないようにするための対策方法が公表されました。

MiraiがIoT機器に感染したのも、主に簡単なログインIDとパスワードを使った初期設定が原因です。

前回のブログ「IOTセキュリティ 2」で掲載した「工場出荷時に設定され、悪用されやすいログインIDとパスワード」がまさにMiraiにターゲットにされたログインIDとパスワードです。それらを用いて「telnet」とうプロトコルを利用してIoTへログインし、IoT機器を乗っ取りました。

IOTセキュリティ 2

telnetとはパソコンやIot機器を遠隔で操作する際に用いられるプロトコルで、Miraiはtelnetが使用されていて、ポート番号23および2323を使っているIoT機器に対して上記のログインIDとパスワードをなげかけて、ログインを試み、ログインできれば、即、乗っ取り完了となりました。

Miraiの被害はインターネットサイトが一時ダウンした被害が主ですが、今後は、IoT機器は医療機器、自動車、工場オートメーションなど幅広い産業に拡大していきます。人命に関わる分野、インフラに関わる分野でIoT機器にマルウェアに感染すると、人間の生命をおびやかしたり、社内生活に大きな悪影響をもたらすことが予想されます。

次回は、今後のIoT普及の見通しと社会に与える影響をみていきます。