「Mirai」を利用したDDoS攻撃は、監視カメラ・防犯カメラが踏み台になることも多かった
ここ数年、ホットな話題になっている「Internet of Things(IoT)」。家電や業務用機器などにインターネットへの接続機能を持たせて、今までに存在しなかった便利なサービスを実現するものだ。
運動量を取得してネットで確認するウェアラブル機器や、スマホで外出先からコントロールできる「スマート家電」など、各メーカーもこぞって新製品を発表している。電気や水道など重要なインフラも、インターネット経由で動作するケースが増えてきた。
しかし、IoTデバイスもネットワークの一部である以上、ネットワークを経由した脅威に晒される可能性がある。2016年に猛威をふるった「Mirai」(ミライ)をご存知だろうか?
Miraiは、インターネットに接続されたルーターやカメラなどのIoT機器に感染し、ボットネットを形成。攻撃者のコントロールサーバーからの指令に従ってDDoS攻撃を実施するマルウェアだ。Miraiに乗っ取られた機器は世界中でおよそ50万台にものぼるといい、日本でも感染は確認されている。
2016年10月には、Amazon.com、Twitter、Netflixなど、大手サイトが利用しているDNSサービス「Dyn」も被害に遭った。この事件は、1.2Tbpsというこれまでとは桁違いの規模のDDoS攻撃だったことから、大いにMiraiの悪名を轟かせることになった。
さて、IoT機器を狙うマルウェアと聞くと、未知のサイバー犯罪ではないか、我々にできる対策など何もないのでは……と怯えてしまうかもしれない。しかし、そうではない。いたずらに不安を抱くのではなく、正しい知識を身につけることが大事なのだ。
たとえば、IoT機器を使用する際は、ユーザー名とパスワードを初期設定のままにせず、第三者に推測されにくいものに変更することでも、不正プログラムへの感染を防止する有効な対策になる。
実はMiraiにも、特定のユーザー名とパスワード(「admin」「root」「guest」 など)でログインを試みる特徴があった。これらは、多くの機器の初期設定で使われているユーザー名とパスワードだ。つまり、デフォルトで設定されているユーザー名とパスワードのまま機器を使用していると、感染しやすくなってしまう。逆にいえば、パスワードを変更するだけでも、被害に遭いにくくなる。
IoTという言葉が叫ばれて久しいが、さまざまなガジェットや家電などがネットワークに繋がる時代になれば、それらを利用する我々は、セキュリティーに対してしっかりとした知識を持つことが必要になるだろう。
Miraiの被害から、IoT時代のセキュリティーについて学ぼう。今回はMcAfee Blogから、「『Mirai』が示したIoTセキュリティの未来」を紹介したい。
「Mirai」が示したIoTセキュリティの未来
マカフィーのリサーチ機関、McAfee Labsは日々、世界各地に配備した数百万台のセンサーや顧客から得られたデータを元に脅威動向を研究しています。そして、その成果をマカフィーが構築している脅威インテリジェンス「McAfee Global Threat Intelligence」(McAfee GTI)を通じて皆様にお届けし、防御に活用していただくとともに、定期的にレポートの形にまとめ、公表しています。
今回は、2016年第4四半期(2016 年10~12月)の脅威動向をまとめた「McAfee Labs脅威レポート: 2017年4月」のハイライトをご紹介します。
まず全体的な動向ですが、この四半期、新種のマルウェアやモバイルマルウェア、新種のランサムウェアの数はいずれも減少しました。一方でMac OSを狙う新種のマルウェアは245%増加しています。2016年通年で見ると実に744%もの増加です。絶対数はWindowsをターゲットにしたマルウェアに比べると少ないものの注意が必要でしょう。
攻撃者にも大きな可能性をもたらす「IoT」、Miraiが示したインパクトとは
あらゆるものがインターネットにつながり、情報を交換することで、今までに存在しなかった便利なサービスを実現するInternet of Things(IoT)が大きな可能性を秘めています。既に150億台以上のデバイスがインターネットに接続して稼動しており、その数は2020年には2000億台以上に増加するとマカフィーは予想しています。
ですが、残念ながらIoTは、サイバー犯罪者にとっても「大きな可能性」をもたらす存在のようです。この事実を如実に示したのが、IoTボットネットの「Mirai」でした。2016年10月、DNSサービスを提供するDynに1.2Tbpsというこれまでとは桁違いの規模のDDoS攻撃を仕掛け、複数のサービスに影響を及ぼした事件は記憶に新しいところです。
Miraiは、インターネットに接続されたルータやカメラ、DVRなどさまざまなIoTデバイスにスキャンをかけ、デフォルトのままのパスワードを使っている機器にブルートフォース攻撃を行い感染を広げていきます。侵入に成功すると、攻撃者のコントロールサーバからの指令に従ってDDoS攻撃を実施するのです。数年前にPCをターゲットにしてボットネットを構築し、DDoSサービスが行われたのと同じ構図と言えるでしょう。マカフィーでは、Miraiボットネットを用いた「DDoS as a Service」がアンダーグラウンドのフォーラムで売買されていることも確認しています。
ポイントは、Miraiのソースコードが公開されてしまったことです。「Anna-Senpai」と名乗るMiraiボットネットの作者は、2016年10月1日にソースコードをリリースしましたが、そのわずか4日後にはMiraiに感染した機器をDDoS攻撃のプラットフォームとして貸し出す「Mirai botnet as a Service」がアンダーグラウンドで売買され始めました。
ソースコードをベースにした亜種も増加しています。10月28日にドイツテレコムに攻撃を仕掛けたのもMiraiの亜種でした。この亜種は、ISPや通信事業者が顧客のモデムやルータをリモートから管理するためのプロトコルを用いて脆弱性を悪用し、感染を広げていました。
マカフィーではMiraiボットネットの感染状況をモニタリングするとともに、ハニーポットを設置してその動きを確認してみました。その結果、インターネットに接続されたデバイスは5分としないうちに攻撃を受け、その後2日間でさまざまな国のゲームサイトやECサイトに対し計34回のDDoS攻撃が実行される結果となりました。興味深いのは、いわゆる「スクリプトキディ」でもMiraiボットネットを操れるよう、チュートリアル動画まで用意されていたことです。他のマルウェア同様に、特にスキルを持たない人でもMiraiを悪用して攻撃を実施できる状況が整いつつあるかもしれません。
このように大きなインパクトを与えたMiraiボットネットですが、マルウェアとして見た場合、デフォルトで設定されたままのパスワードを悪用するという具合に、機能自体はとてもベーシックです。今後、より多くの資金を持つプロの攻撃者がIoTデバイスに目をつけ、リアルタイムOSの脆弱性を悪用したり、暗号化通信やP2P接続を用いてセキュリティ対策を迂回するなど、より高度な手口を用いてくる可能性もあると予想しています。
詳細はレポートで紹介していますが、対策はIoTデバイスを購入する際には過去のセキュリティ履歴を調査し、メーカーのセキュリティに対する姿勢を確認すること。そして購入後もPCと同様、ソフトウェアを最新のものにアップデートし、それが難しい場合はホワイトリスト型の対策などを用いてリスクを緩和することなどです。不要なポートは無効化するとともに、デフォルトのパスワードを変更し、より強固なものに変更する……つまり、ITの世界で実施されてきたベストプラクティスをIoTにもぜひ適用してください。
進展する脅威インテリジェンスの共有、いくつかの課題も
今回のレポートではまた、セキュリティ運用をいっそう効率化させるため、脅威インテリジェンスの共有についても触れています。マカフィーが複数のベンダーとともに進めるCyber Threat Alliance(CTA)(英文)もその一例ですが、他にもISACやISAO(英文)、CERTなどの枠組みを通じ、セキュリティ研究者やベンダー、政府の間で脅威インテリジェンスの共有が進んでいます。
一方でいくつかの課題も浮上しています。特に重要な課題は、現時点では手作業に頼っている脅威インテリジェンス共有の「自動化」でしょう。さらに増大し続けるデータの「量」をいかに処理するか、また疑わしい情報や偽の情報を排除し、どのように「検証」して「品質」を保つか、それでいて同時に脅威に負けない「スピード」を確保するか……。
このように改善すべきポイントはいくつかありますが、少なくとも情報共有によって攻撃にプロアクティブに対処し、攻撃側のアドバンテージを減らせることは確かです。米国政府ではCybersecurity Information Sharing Act(CISA)(英文)のような法令を定めて、情報共有の枠組みを後押しし始めています。こうした情報を有効に活用し、対策やデータ共有のためのオープンなアーキテクチャや相互接続性を持った標準が求められることでしょう。
