2016年サイバーセキュリティ重大トピックス (6) 100万台以上のIoT機器がマルウェアに感染しDDoS攻撃。IoTは今後も狙われる

西方望

January 19, 2017 12:00
by 西方望

IoT(Internet of Things、モノのインターネット)という言葉は、本来の概念とは多少異なるとはいえ、すでにすっかり定着したようだ。現在では、家電製品や小型デバイスといった従来は独立して使われていた機器がインターネットに接続し情報の送受信や制御ができること、あるいはその機能、あるいはその機器を指して「IoT」と呼ばれることが多い。

しかしネットに繋がるということは、すなわち限られた能力であれ機器にコンピューターを搭載するということであり、コンピューターが搭載されているということは、すなわちハックできる可能性があるということだ。つまり、IoT機器は他者から操作されて悪用される危険性がある。そのことは以前からも指摘されており、実際に害をもたらした事件も起きている。

急激に広がるIoT機器

例えば、東芝の家庭用DVDレコーダーがオープンプロキシ(誰でも外部から利用可能な中継サーバー)となり得るためスパムなどの踏み台として多数が悪用されたのは、まだIoTなどという言葉が知られていなかった2004年、実に12年も前だ。また、ネット接続機器の検索エンジンとして知られるShodanがサービス開始したのは2009年のことで、ここからさまざまな機器や使い方の問題が騒ぎになったのは一度や二度ではない。要するに「IoTの危険性」などというのは全く目新しくもない話なのだが、2016年はこれが大きな話題となった。

そうなった理由の背景には、言うまでもないことだろうがIoT機器の急速な増加がある。IoTを呼び物にして派手に宣伝されるような製品に限らず、以前は考えてもみなかった機器が今は当たり前のようにネットに繋がっているのだ。

20年前、テレビやビデオやゲーム機がごく普通にインターネットに接続しているなどということを誰が想像しただろうか。そして今やIoTの地平はさらに拡大し、自動車から生活家電までさまざまな機器がさまざまな形でネットを利用している。PCやスマートフォンなどいわゆる「コンピューター」以外でインターネットに接続するIoT機器は毎年数百万台増えているとも言われ、そのペースは今後も加速していくのは間違いない。

DDoS攻撃発信元としてIoTセキュリティの顕在化

だが、ここで問題になるのはセキュリティだ。今までネットワークに接続していなかった機器であれば、その機器を作るメーカーはネットワークやITセキュリティに関する経験が浅い、という場合が多い。そういったメーカーが機器をIoT化しようとすると、セキュリティ面が不十分になりがちだ。IoTとは少々違うが、例えばStuxnetで攻撃された制御ソフトウェアも、固定パスワードが変更できないという、まともなセキュリティ意識を持って作ったとは到底思えない仕様だった。IoTの進展は、そういった潜在的に危険な機器が世界に爆発的に増えるということになりかねないのだ。

そして2016年にIoTセキュリティが話題となった最大の理由は、まさにその危機が顕在化したからだ。マルウェアに乗っ取られた多数のビデオレコーダー、ルーター、ネットワークカメラなどの機器で構成されたボットネットからの攻撃により、史上最大規模のDDoS攻撃が発生したのだ。起きた事象としては一体ではあるのだが、IoT機器の悪用方法はDDoSに限らないし、逆にDDoSを行う手段はIoTボットネットだけに限らない(現状これが最も効率が良いだろうが)ので、本質的には別のテーマと考えるべきだ。

話を元に戻そう。2016年のその大規模DDoS攻撃の原因として、Miraiと呼ばれるマルウェアが悪名を轟かせた。Miraiは数十万台(9月末の時点で38万台と作者は述べている)の機器に感染してボットネットを構築したというが、この他にもこちらの記事にもある通り、それを上回る100万台以上の機器からなるボットネットを作り上げたと言われるBashlightマルウェアも確認されている。

Miraiはその後ソースコードが公開された。このコードについては@ITに素晴らしい解析記事が掲載されているが、これを見ても(筆者が乏しい知識でソースを眺めた限りでも)、Miraiがやっているのは「ごく普通」のことだと言っていいだろう。未知の脆弱性を突いているわけでも、目を見張るようなハッカー的工夫があるわけでもない。その肝は、要するに「デフォルトのユーザー名・パスワードを使っている機器に侵入する」ということだ。つまり、設定の甘い、あるいは設定を行っていない機器だけを狙って侵入しているということであり、機器の使用開始時点で推測困難なパスワードを設定するだけでMiraiの感染は完全に防げるのだ。

有効な対応策は存在しない

しかし、ルーターやBDレコーダーを買ってきてまず管理者パスワードを変更する、というのはそれなりのセキュリティ意識がある人くらいだろう。そもそもIoT機器の多くは、知識がなくても簡単に使えるのが売りでもある。また常にセキュリティ意識を持つことをすべての人に押しつけるのは無理というものだ。

問題の一端は、パスワードを変更しなくても使えてしまう、という機器の基本設定にあると言っていい。現状ではこのような機器がきわめて多いのだ。上述のようなネットワークについての経験が浅いメーカーのみならず、長年ネットワーク機器を販売してきたメーカー製のルーターや無線LANアクセスポイントでさえ、デフォルトの「admin/password」といった管理者名・パスワードを変更しないまま使えてしまう製品が大半だ。

数年前のことなので今は改善されているとは思う(期待している)が、筆者が国内有名メーカー各社の無線LANアクセスポイント数台を調べた際、ユーザー名admin・root・user等、パスワードpassword・pass・パスワードなし等の組み合わせでログインできなかったものはなかった。このデフォルトユーザー名・パスワードの変更を使用開始時に自分で設定するよう強制するだけでも、セキュリティは格段に向上するのではないだろうか。

だが、もし現在IoT機器を作っているメーカーがすべてそのような対応をしたとしても、すでに存在する機器の設定は変わらない(多くのユーザーはファームウェアの更新などしないだろう)し、今後新たに参入するメーカーは弱い設定にしてしまうかもしれない。また、パスワードの変更を強制されたとしても、少なからぬユーザーは誕生日や「1234」のような安易なパスワードにしたり、他で使っているパスワードを使い回すだろうことは想像に難くない。

Miraiより強力で効率的なパスワードリスト攻撃をかけるマルウェアなら、その多くが餌食になる。さらに、パスワードが強固であっても機器自体の脆弱性が悪用されることも十分考えられる。いずれにせよ、IoT機器自体が急速に増加している現状では、対策のされた機器がどれほど増えたところで、それをはるかに上回るペースで脆弱な機器が増殖していくことは間違いない。つまり、IoT機器は今後とも狙われ続け、当分はその脅威は拡大し続けるだろう、ということだ。

そしてその有効な対策は現在のところほぼ存在しないと言っても過言ではない。せめて、皆さんの自宅の機器がマルウェアに感染して他者への攻撃に荷担することがないよう、ファームウェアが最新であること、安全なパスワードが設定されていることをご確認いただきたい。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…