「機械学習/AI」「仮想通貨」「IoTハイブネット」などのキーワードで読み解く
2018年に警戒すべき脅威は?9社セキュリティ予測まとめ《後編》
2018年01月11日 08時00分更新
IoTボットネットはインテリジェントな「IoTハイブネット」に進化する
昨年の脅威予測でも多くのベンダーが取り上げていたIoT領域では、今年も引き続き多くの攻撃が発生しそうだ。
IoTデバイスは出荷される数が多い一方で、セキュリティ対策はまだまだ不十分なものが多いのが実態だ。今後、一般家庭向けのIoTデバイスが普及すれば、メーカーのセキュリティ意識の低いデバイス、ユーザーにより基本的なセキュリティ対策がとられないまま放置されるデバイス、そもそもインターネットに接続されていることすら認識されていないようなデバイスも増えていくことになるだろう。
「ほとんどとは言わないまでも、多くのメーカーが設計上安全でない機器を市場に投入し、結果的にIoT関連の脆弱性がこれまで以上に確認されると予測します。IoT機器に関しては、更新プログラムの適用がPCよりも厄介であるため、大きなリスクとなる可能性があります」(トレンドマイクロ)
大量のIoTデバイスを乗っ取って大規模なDDoS攻撃を実行した「Mirai」の事件はまだ記憶に新しいが、昨年後半にはこのMiraiをさらに強化したような「Reaper」ボットネットも登場している。
フォーティネットでは、こうしたIoTボットネットがさらに進化し、高度なインテリジェンスと高い攻撃力を持つ「ハイブネット」が構成されるおそれがあると予測している。実際にMiraiやReaperの攻撃にも、すでにその痕跡が見られるという。
これまでのボットネットは、ハイジャックされた多数の“ゾンビデバイス”が中央のC&Cサーバーの指令を受けて動作するだけの単純な構造だった。一方でハイブネットは、感染デバイスどうしが相互に情報交換を行いながら半ば自律的に動作するクラスタを構成する。フォーティネットでは、ハイブネットを構成する大量の感染デバイス群を“スウォームボット”と呼んでいる。ハイブ((hive)はミツバチの巣箱、スウォーム(swarm)はミツバチの大群の意味だ。
「(ハイブネットは)数百万台の相互接続されたデバイス(スウォームボット)を使用して、多様な攻撃ベクトルを同時に識別して処理できるため、前例のない規模での攻撃が可能になります」「スウォームボットは互いに通信し、共有するローカルのインテリジェンスに基づいて動作し…ボットネットコントローラーが指示しなくともコマンドに基づいて行動します。また、ハイブの新しいメンバーを募集して訓練できます」(フォーティネット)
ボットネットにせよハイブネットにせよ、ハイジャックした膨大な数のIoTデバイス群は多様な攻撃に悪用できるため、攻撃者にとってうまみのあるターゲットであることは間違いない。
たとえばトレンドマイクロでは、これまでのようなDDoS攻撃への悪用はもちろん、乗っ取ったデバイスに仮想通貨のマイニングを実行させたり、捜査側のフォレンジック解析を妨害するための攻撃の踏み台(プロキシ)として悪用したりする可能性を指摘する。カスペルスキーも、ハッキングされたルーターやモデムを悪用して、攻撃者が「偽旗作戦」を展開すると予測している。
そのほか、インダストリアルIoT(IIoT)や医療IoT(コネクテッドヘルスケア)など、これまでインターネットに接続されていなかった領域のデバイスが接続されるようになることで、攻撃者の活動可能性が大きく広がっていく。ウォッチガードでは、企業のネットワークレイヤーにおいて、IoTネットワークの分離(マイクロセグメンテーション)やIPSの導入といった対策が必要になることを指摘している。
なおパロアルトでは、従業員が企業内に多数のパーソナルIoTデバイスを持ち込むようになることで、セキュリティにおける企業と個人の責任分界点があいまいになっていくことにも注意すべきだと指摘する。またウォッチガードは、2018年にIoTボットネットによる大規模な攻撃が発生することで、各国政府が規制と本格的な対策に乗り出す年になると予測している。
* * *
以上、本稿前後編で取り上げることのできたキーワードのほかにも、国家やテロリストグループなどによる「サイバー戦争」や「破壊型攻撃」、サイバー犯罪市場における「犯罪サービス」の高度化など、今年も注視すべき動きは数多くある。各社レポートを参考にして、自社のセキュリティ対策の方向性を再点検していただければ幸いだ。
最後に、A10ネットワークスのレポートから「デジタルセキュリティが基本的人権問題になる」という予測を紹介させていただく。企業のITセキュリティは、自社の資産を守るためだけでなく、従業員やパートナー企業、顧客、そして社会全体の安全を守り、強化することにもつながる取り組みでもあることをあらためて強調しておきたい。
「安全な通信への依存は、清潔な空気、水、食べ物の必要性とは異なります。デジタルセキュリティは基本的人権として扱われる必要があります。簡単に保護できて安全が保証されなければ、人々は危険にさらされ、脅威や問題の蔓延によって大きな苦難や金銭的損失に直面してしまいます。問題が多発する前に社会はその認識を変え、サイバーセキュリティを基本的人権とみなしていかなければなりません。これにより、企業や一般消費者は不安から解放されるのです」(A10ネットワークス)