Akamai Diversity
Home > Akamai Japan > 「インターネットの現状」2016 Q3版~IoTからの攻撃の脅威

「インターネットの現状」2016 Q3版~IoTからの攻撃の脅威

 Akamaiでは、四半期ごとに自社のサービスで得られた大量のデータを詳細に分析しています。毎回、新たなことがらを発見するのですが、2016年第3四半期も例外ではなく、驚くべきことが起きました。Miraiと呼ばれるボットネットが10月にインターネットで話題を集めたのをご存知の方もいらっしゃるでしょう。

 このMiraiボットネットが、インターネットに星の数ほど存在する攻撃プラットフォームと異なるのは、これが乗っ取られたIoT(Internet of Things)」機器」上に構築されている点です。以前、家にあるコーヒーメーカーや冷蔵庫が攻撃を開始する可能性を、冗談でよく話したものですが、これほどにすぐに現実のものとなるとは誰もが考えていませんでした。

 2016年10月に、この世の中の認識をひっくり返す事象を世界は目の当たりにしました。攻撃者は世界中に配置されていた監視カメラなどのIoT機器を強力なロボット兵団にしてしまったのです。Miraiボットネットは、DNSサービスを提供する米Dyn社に対する大規模攻撃の一部にも利用され、この攻撃の結果、SNSや動画配信、その他の多くの企業のビジネスを支えていたDNSサービスを中断に追い込んだと報じられています。

 では、なぜ、IoTを利用した攻撃が拡大したのでしょうか?

Miraiの作成者が公開したソースコードでは、様々なIoTデバイスで製品出荷時の設定としてよく用いられている、60を超えるユーザー名とパスワードの組み合わせを用いてIoTデバイスに外部から侵入して、マルウェアを外部からダウンロードします。このマルウェアは、外部のC2 (Command & Control) サーバからの遠隔指示の実行、感染候補となる他のデバイスのサーチを行います。

 感染したデバイスの多くは、外部からのTelnetログインの認証に、これらのデフォルトパスワードが用いられていたと考えられています。プログラム上は、ユーザのデバイス利用開始時の初期ログインでパスワード変更を強制するのはそれほど難しいことではありません。しかし実際には多くの機器がこのような、よく使われるパスワードを常時用いており、後から変更不能なチップに焼き付けられた状態で出荷されています。

 これがIoTデバイスのセキュリティが抱える大きなジレンマ 1 つです。製品間の競争の中で、大量のコンシューマ機器をユーザの手に届け、より手軽に機器の利用が開始できるよう機器を構成するなかで、セキュリティの設定が見過ごされてきました。例えば大規模スポーツイベントを期に大量に導入された監視カメラでは、大量の機器を現地でセットする手間やコストを低減するため、こうした機器の仕様になっているかもしれません。

 公開されたMiraiのソースコードを元に多くの亜種が作成できます。その中には単純なTelnet認証の利用する代わりに、Telnetポートを外部に晒していないブロードバンドルータなどに対しても、外部から任意のコマンドを実行するための脆弱性を利用する亜種などが懸念されており、より幅広いIoT機器が標的になっています。

 素晴らしいIoTゴールドラッシュの時代はもう始まっています。私達は団結して、これから開発されるIoTデバイスのシステム開発ライフサイクルにセキュリティが確実に統合されるように注意を図らなければなりません。

 同時に、数十万台に及ぶといわれる設置済みで、修正が不可能な機器が多く存在するという現実問題に向き合う必要もあります。このようなIoT機器を操った大規模なDDoSに対し、自社のWebサイトやDNSサーバが、十分に保護されているか再度検証する必要があるでしょう。

 

 公開されたアカマイの纏めた2016年Q3版の「インターネットの現状/セキュリティレポート」では、ここで紹介したストーリーや、2016年Q3に起きたその他のDDoS, Webセキュリティインシデントの傾向について取り扱っています。その中では、Miraiとその他の攻撃プラットフォームが起こした、アカマイがこれまで観測した中で最大規模の攻撃、623Gbs, 555GbpsのDDoSについても、アカマイがこれまで観測した実際のデータを元に詳細な分析をしています。ぜひご一読ください。

Akamai SOTI 2016 Q3 Security Report

Leave a comment