連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

牧野武文

December 12, 2017 08:00
by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。

悪意の薄い「覗き見」

覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイトの存在をご存知の方は多いはずだ。ここのサイトには、世界中のIPカメラの映像が生中継をされている。しかし、現状では、好奇心からどんな映像が見られるのかを楽しむ訪問者が多いと予想される。

しかし、IPカメラのハッキングがいつまでも「いたずら」「覗き見」といった悪意の薄い攻撃のレベルに留まっているという保証はない。吉岡准教授は、研究室内にIPカメラのハニーポットを設置している。あえて、出荷時パスワードのままで接続をし、どのようなアクセスがあるかを観察している。

すると映像を盗み見するだけでなく、カメラの操作をしようとする者が多いという。「さらに、映像にサーバーのURLとパスワードがわざと写り込むようにしています」。これを見たアクセス者の中には、囮のURLにアクセスし、パスワードを使ってログインを試すものもいるという。

IPカメラの盗み見程度であれば、大きな問題にはならないかもしれないが、その映像に映り込んだ情報を利用して、さらに大きな攻撃が企図される事態はじゅうぶんにあり得る。これが、個人宅であれば窓の外の風景から場所が特定される可能性はあるし、工場などの監視カメラなどの場合、映像情報から大規模攻撃のヒントをつかむ可能性がある。


吉岡准教授がBBSS社と共同で構築したホームネットワーク実験環境。IPカメラが設置され、外部から不正にアクセスしてくる攻撃者を待ち構えている。IPカメラにアクセスすると、写真のようなごく普通のリビングの風景が見えることになる。そこには、さらに不正アクセスができそうなURLやパスワードらしきものが置かれている。こうして、攻撃者がどのような情報に基づいて、どのような行動をとるのかを記録している。

すでに多くの人が利用しているIoT機器検索エンジン

吉岡准教授が、もうひとつ警告するのが「Shodan」「Censys」などのIoT機器検索エンジンの存在だ。これはGoogleがウェブを検索できる検索エンジンであるのと同じように、インターネットからアクセスできるIoT機器を検索できる検索エンジンだ。前述のInsecamは、設置されている国やカメラメーカを指定して情報を得ることができるため、公開されているWebカメラに特化した一種の検索エンジンという見方もできる。


IoT機器も検索できるWebサービス「Shodan」

吉岡准教授の囮カメラも、Insecamに登録をされたことがある。「登録をされた時は、アクセス数が一気に1000倍以上に増えました。つまり、多くの人がこのようなIoT検索エンジンを使って、アクセス可能な機器を探し出し、アクセスをしてくるのだと推定できます」。

吉岡准教授は、このようなIPカメラアクセス、URLへのアクセスへの比率を計測し「悪意が薄いいたずら」と「悪意のある攻撃」の割合の推移を見ていこうとしている。

潜伏して感染を広げるIoTマルウェア

IPカメラへの盗み見攻撃は、利用者が気をつけていれば防げる。しかしIPカメラを使って得られた情報から次の攻撃をする、あるいはIoT機器に残されている脆弱性を利用して、マルウェアを感染させボットネット化し、DDoS攻撃に利用するとなると、話は違ってくる。

昨年発見されたMiraiは推定が容易なパスワードでアクセスが可能なIoT機器を探し出し、感染をするというマルウェアで、大規模DDoS攻撃に利用された。

このIoT機器のボットネット化は、以前のPCのボットネット化に比べて、被害が大きくなりがちだ。なぜなら、PCにマルウェアが感染することはよく知られるようになっていて、企業ではもちろん、家庭でもセキュリティソフトを導入するようになっている。またPCは利用者が常時使う物なので、マルウェアに感染したことも察知しやすい。一方でIoT機器は、セキュリティソフトを導入している例はほとんどない。

しかも、IoT機器に感染するマルウェアは感染した機器の機能に影響を与えない場合が多い。「MiraiなどのIoTマルウェアの多くは感染機器の機能を阻害しません。ルーターはルーターとして、プリンターはプリンターとしてちゃんと使えてしまいます。ですから、余計に感染に気がつかないのです」。

そして、今後、PCやスマートフォンの数十倍、数百倍の数のIoT機器がインターネットに接続されていこうとしている。攻撃者の立場から見れば、対処されやすいPCやスマートフォンを狙うよりも、無数に存在してセキュリティ対策が施されていないIoT機器を狙うのも当然のことだ。

サイバー攻撃だと気づかれないことも多い

ところが今年の1月ぐらいから、IoT機器を破壊してしまうマルウェアが出回り始めた。感染をすると、機器を再起動しても工場出荷時状態に戻しても、起動をしない、機器として利用できない状態になる。

「IoT機器の場合、サイバー攻撃だと認識されないことが多いと思われます。IoT機器へのサイバー攻撃自体はまだ十分周知されていないため、利用者はサイバー攻撃だと考えず、単に機器が故障をしたと考えます。保証期間内であれば、メーカーの保証修理を受けようと考えます。メーカー側でも、それがサイバー攻撃だと考えず、理由の不明な故障として、関連部品の交換修理あるいは製品交換で対応されてしまうと思います」。

簡単な入り口があれば、難しい入り口は使わない

「攻撃者は簡単に侵入できる入り口があるのなら、わざわざ難しい入り口を使おうとはしません」。これまでは、まだ「簡単な入り口」が悪用されている段階で、攻撃手法のレベルは初歩的なものが多く出荷時設定のパスワードを利用していた。「そのため、メーカーは最低限の対策を当たり前の企業活動として行っていれば、かなりの割合の攻撃を防げる状態でした」。開発時に使っていた管理サービスをしっかり塞ぐ、一般的なセキュリティ検証をするという当たり前の企業活動をしていれば防げる場合が多かったという。
「この点で、日本の企業はおおよそしっかりやっていると考えていいと思います。確かにIoT機器の感染は増えていますが、国内の感染例は世界平均の数十分の一、あるいは数百分の一という低いレベルでした」。多いのは、東アジア、東南アジア、南米、中東などであるという。

これから本格化、高度化することが懸念されるIoT機器への攻撃

ただし、吉岡准教授は、IoT機器のセキュリティを真剣に考えなければならないのは、これからだと言う。「最近は、機器に固有の脆弱性を狙った攻撃が発生し始めています。これまでは、メーカーがごく当たり前のセキュリティ検査、ごく当たり前の企業活動をするだけでほとんどの攻撃を防ぐことができました。しかし、簡単な侵入口が塞がれたり、他の攻撃者に先に侵入されて入り口を塞がれてしまうと、攻撃者たちも高度な攻撃をしてくることになります。実際、個々の機器の脆弱性を狙った攻撃も増え始めており、以前に比べて国内の感染台数も増えています」
吉岡准教授の見立てでは、IoT機器への攻撃はまだアーリーステージに過ぎない。問題は、これから本格化する高度な攻撃への対処ができるかどうかだ。
 
(その3に続く)


横浜国立大学大学院環境情報研究院/先端科学高等研究院、吉岡克成准教授。IoT機器セキュリティの分野で、多くの公的機関、企業と連携をして研究を進めている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…