2016年サイバーセキュリティ重大トピックス (6) 100万台以上のIoT機器がマルウェアに感染しDDoS攻撃。IoTは今後も狙われる

西方望

January 19, 2017 12:00
by 西方望

IoT(Internet of Things、モノのインターネット)という言葉は、本来の概念とは多少異なるとはいえ、すでにすっかり定着したようだ。現在では、家電製品や小型デバイスといった従来は独立して使われていた機器がインターネットに接続し情報の送受信や制御ができること、あるいはその機能、あるいはその機器を指して「IoT」と呼ばれることが多い。

しかしネットに繋がるということは、すなわち限られた能力であれ機器にコンピューターを搭載するということであり、コンピューターが搭載されているということは、すなわちハックできる可能性があるということだ。つまり、IoT機器は他者から操作されて悪用される危険性がある。そのことは以前からも指摘されており、実際に害をもたらした事件も起きている。

急激に広がるIoT機器

例えば、東芝の家庭用DVDレコーダーがオープンプロキシ(誰でも外部から利用可能な中継サーバー)となり得るためスパムなどの踏み台として多数が悪用されたのは、まだIoTなどという言葉が知られていなかった2004年、実に12年も前だ。また、ネット接続機器の検索エンジンとして知られるShodanがサービス開始したのは2009年のことで、ここからさまざまな機器や使い方の問題が騒ぎになったのは一度や二度ではない。要するに「IoTの危険性」などというのは全く目新しくもない話なのだが、2016年はこれが大きな話題となった。

そうなった理由の背景には、言うまでもないことだろうがIoT機器の急速な増加がある。IoTを呼び物にして派手に宣伝されるような製品に限らず、以前は考えてもみなかった機器が今は当たり前のようにネットに繋がっているのだ。

20年前、テレビやビデオやゲーム機がごく普通にインターネットに接続しているなどということを誰が想像しただろうか。そして今やIoTの地平はさらに拡大し、自動車から生活家電までさまざまな機器がさまざまな形でネットを利用している。PCやスマートフォンなどいわゆる「コンピューター」以外でインターネットに接続するIoT機器は毎年数百万台増えているとも言われ、そのペースは今後も加速していくのは間違いない。

DDoS攻撃発信元としてIoTセキュリティの顕在化

だが、ここで問題になるのはセキュリティだ。今までネットワークに接続していなかった機器であれば、その機器を作るメーカーはネットワークやITセキュリティに関する経験が浅い、という場合が多い。そういったメーカーが機器をIoT化しようとすると、セキュリティ面が不十分になりがちだ。IoTとは少々違うが、例えばStuxnetで攻撃された制御ソフトウェアも、固定パスワードが変更できないという、まともなセキュリティ意識を持って作ったとは到底思えない仕様だった。IoTの進展は、そういった潜在的に危険な機器が世界に爆発的に増えるということになりかねないのだ。

そして2016年にIoTセキュリティが話題となった最大の理由は、まさにその危機が顕在化したからだ。マルウェアに乗っ取られた多数のビデオレコーダー、ルーター、ネットワークカメラなどの機器で構成されたボットネットからの攻撃により、史上最大規模のDDoS攻撃が発生したのだ。起きた事象としては一体ではあるのだが、IoT機器の悪用方法はDDoSに限らないし、逆にDDoSを行う手段はIoTボットネットだけに限らない(現状これが最も効率が良いだろうが)ので、本質的には別のテーマと考えるべきだ。

話を元に戻そう。2016年のその大規模DDoS攻撃の原因として、Miraiと呼ばれるマルウェアが悪名を轟かせた。Miraiは数十万台(9月末の時点で38万台と作者は述べている)の機器に感染してボットネットを構築したというが、この他にもこちらの記事にもある通り、それを上回る100万台以上の機器からなるボットネットを作り上げたと言われるBashlightマルウェアも確認されている。

Miraiはその後ソースコードが公開された。このコードについては@ITに素晴らしい解析記事が掲載されているが、これを見ても(筆者が乏しい知識でソースを眺めた限りでも)、Miraiがやっているのは「ごく普通」のことだと言っていいだろう。未知の脆弱性を突いているわけでも、目を見張るようなハッカー的工夫があるわけでもない。その肝は、要するに「デフォルトのユーザー名・パスワードを使っている機器に侵入する」ということだ。つまり、設定の甘い、あるいは設定を行っていない機器だけを狙って侵入しているということであり、機器の使用開始時点で推測困難なパスワードを設定するだけでMiraiの感染は完全に防げるのだ。

有効な対応策は存在しない

しかし、ルーターやBDレコーダーを買ってきてまず管理者パスワードを変更する、というのはそれなりのセキュリティ意識がある人くらいだろう。そもそもIoT機器の多くは、知識がなくても簡単に使えるのが売りでもある。また常にセキュリティ意識を持つことをすべての人に押しつけるのは無理というものだ。

問題の一端は、パスワードを変更しなくても使えてしまう、という機器の基本設定にあると言っていい。現状ではこのような機器がきわめて多いのだ。上述のようなネットワークについての経験が浅いメーカーのみならず、長年ネットワーク機器を販売してきたメーカー製のルーターや無線LANアクセスポイントでさえ、デフォルトの「admin/password」といった管理者名・パスワードを変更しないまま使えてしまう製品が大半だ。

数年前のことなので今は改善されているとは思う(期待している)が、筆者が国内有名メーカー各社の無線LANアクセスポイント数台を調べた際、ユーザー名admin・root・user等、パスワードpassword・pass・パスワードなし等の組み合わせでログインできなかったものはなかった。このデフォルトユーザー名・パスワードの変更を使用開始時に自分で設定するよう強制するだけでも、セキュリティは格段に向上するのではないだろうか。

だが、もし現在IoT機器を作っているメーカーがすべてそのような対応をしたとしても、すでに存在する機器の設定は変わらない(多くのユーザーはファームウェアの更新などしないだろう)し、今後新たに参入するメーカーは弱い設定にしてしまうかもしれない。また、パスワードの変更を強制されたとしても、少なからぬユーザーは誕生日や「1234」のような安易なパスワードにしたり、他で使っているパスワードを使い回すだろうことは想像に難くない。

Miraiより強力で効率的なパスワードリスト攻撃をかけるマルウェアなら、その多くが餌食になる。さらに、パスワードが強固であっても機器自体の脆弱性が悪用されることも十分考えられる。いずれにせよ、IoT機器自体が急速に増加している現状では、対策のされた機器がどれほど増えたところで、それをはるかに上回るペースで脆弱な機器が増殖していくことは間違いない。つまり、IoT機器は今後とも狙われ続け、当分はその脅威は拡大し続けるだろう、ということだ。

そしてその有効な対策は現在のところほぼ存在しないと言っても過言ではない。せめて、皆さんの自宅の機器がマルウェアに感染して他者への攻撃に荷担することがないよう、ファームウェアが最新であること、安全なパスワードが設定されていることをご確認いただきたい。




ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…