モノのインターネット、「IoT」という言葉が叫ばれて久しい。しかし、新しい技術の普及があれば、そこを狙う人たちもいるものだ。
「Mirai」(ミライ)は防犯カメラやルーターなど、IoT機器に感染し、ボットネットを形成するマルウェアだ。2016年に猛威をふるい、大規模なDDoS攻撃に何度も利用された。
2016年10月には、Amazon.com、Twitter、Netflixなど、大手サイトが利用しているDNSサービス「Dyn」をダウンさせる事件も起こしたほどの“前科者”。
ネット間のIoT機器をスキャンし、検出した新たなデバイスに対してもログイン認証を行ない、感染を広げていくという性質も持つ。乗っ取られた機器は世界中でおよそ50万台にものぼるという。日本でも感染は確認されている。
Miraiの特徴の一つとして、特定のユーザー名とパスワード(「admin」「root」「guest」 など)でログインを試みることが挙げられる。これらは、多くの機器の初期設定で使われているユーザー名とパスワードだ。
つまり、デフォルトで設定されているユーザー名とパスワードのまま機器を使用していると、感染しやすくなってしまう。通常のPCならウイルス対策をしていることも多いだろうが、監視カメラなどはパスワードがデフォルトのままで利用されやすい、すなわち変更されるケースが少ない……という弱点をMiraiは突いてきたわけだ。
IoTが身近になり、より多くのデバイスがインターネットに接続されるようになれば、当然、そこを狙った攻撃も増えてくる。「パスワードの変更など考えたこともない、というか、どうやるの?」という人たちは、悪意を持った攻撃者にとって格好の標的になってしまうかもしれない。
家で使っているIoT機器のパスワードが初期設定のままなら、変更したほうがいいだろう。そしてIoTを悪用したボットネットへの知識を深めておきたいなら、McAfee Blog「IoT製品がDDoS攻撃に利用される!? 脅威と法規制を考える」を読んでほしい。
IoT製品がDDoS攻撃に利用される!? 脅威と法規制を考える
1800年代、その後のアメリカ合衆国西部地方の無法状態を「ワイルド ウェスト」という言葉で表現しました。この言葉が、モノのインターネット (IoT) 時代の暗喩として再び使われるようになっています。開拓、ホームステッド法、富への展望と似たような問題に促され、IoTデバイスが西部開拓時代にその土地を歩き回っていた野牛と同じくらい当たり前の存在になりつつあります。あらゆる業界で膨大な種類のデバイスが導入され、様々なユーザー活動に提案されています。そして、それらが巨大ネットワークに組み込まれ、計り知れない量のデータを生み出しているのです。
McAfee Labsの専門家が、IoTの脅威、法規制、そしてベンダー対応の将来について議論した内容をMcAfee Labs 2017年脅威予測レポートにまとめました。IoTデバイスは、間違いなくネットワークの一部として見るべきでしょう。IoTをクラウドに接続するということは、脅威やその対応もまた、クラウドと密接に関わるということです。最も大きな問題として挙げられるのは、形式不明の脅威に対する恐怖の高まり、サイバーセキュリティ対策に無知なデバイス メーカーによる初歩的ミス、そして継続的な規制上の課題です。
高まる恐怖、一体何が怖いのか
IoTデバイスは、データソースまたは攻撃ベクトルとして、間違いなく犯罪行為を引きつけるでしょう。インターネットに接続されたIoTデバイスを足掛かりにしたデータ漏えいや、感染したウェブカメラからインターネット インフラストラクチャに対して行われた最近の分散型サービス拒否 (DDoS) 攻撃など、その兆しは既に確認されています。このように、攻撃を恐れるべき理由は十分にあるのですが、将来的にどのような攻撃が発生するのかは不明です。サイバー犯罪者の目的はお金ですが、こうしたデバイスの脆弱性を利用して、どのように利益を得るのかは分かっていません。攻撃者にとっては、デバイスの適切な作動を妨害するDoS攻撃など、ある種のランサムウェアが最も簡単にお金を稼げる方法であるため、まずはランサムウェアが最大の脅威になると予測しています。また、比較的セキュリティ対策が甘く、攻撃対象領域が広いIoTデバイスは、ハクティビストの主要ターゲットにもなります。
初歩的ミス
多くの企業が、効率化やデバイスの使用データ収集のために、社内デバイスにIP機能を導入しています。こうした企業の大多数はインターネット接続経験をほとんど持っておらず、デフォルトのパスワードを使用する (最近発生したDDoS攻撃のある種の原因)、不要な権限レベルを付与する、脆弱性にパッチを適用しない (あるいは、適用できない)、などの初歩的ミスを犯すことが予測されます。これらの企業はいずれ失敗から学ぶと思いますが、教訓を得るまで何年にも渡り、データ漏えい、攻撃、訴訟、規制などの痛みを伴うでしょう。
現在の規制上の課題と地域ごとの個人情報規範の違い
クラウドの時と同様、IoTデバイスが急速に導入されていることで、規制上の大きなギャップが生まれています。IoTデバイスを早期に導入したユーザーに関しては、まずは個人情報の懸念が法律を動かす最大の要因となるでしょう。個人情報に対する対応や規制は自治体ごとに異なり、IoTデバイスによってそれが悪化することは間違いありません。法整備がこれらの技術進歩に追いつくまでには時間がかかるでしょう。様々な事態やその結果発生する訴訟、デモ、ユーザーの反発、そして企業の説明責任が、自治体ごとに法制に様々な影響を与えるでしょう。IoT関連の規制の矛盾や不確定因子が多国籍企業にとって大きな問題となり、一部の市場ではIoTデバイスの導入そのものが規制されるかもしれません。
上記の内容を含むより詳しいIoTに関する予測については、McAfee Labs 2017年の脅威予測レポートをダウンロードしてください。
※本ページの内容は 2016年11月28日更新のMcAfee Blog の抄訳です。
原文: Welcome to the Wild West, Again!