キヤノンMJ/サイバーセキュリティ情報局
凶悪化するボットネットの概要とその脅威への対策について解説
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Miraiボットネット?大規模なDDoS攻撃を仕掛けるその仕組みとは 」を再編集したものです。
2016年、IoT機器の脆弱性を悪用して多大な被害をもたらしたボットネット「Mirai」。その活動が沈静化した後、2021年には新たなボットネット「Meris」が登場し、過去最大規模のDDoS攻撃が発生することとなった。この記事では、ますます凶悪化するボットネットの概要とその脅威への対策について解説していく。
ボットネットとは
「ボットネット(Botnet)」とは、「ボット(Bot)」と「ネット(Net)」から成る複合語だ。ボットとは、ロボットのように事前に決められた処理を自動的に実行するプログラムのことで、その名称もロボットからきている。本来、ボット自体には悪意のある意味合いは含まれていない。例えば、ECサイトなどで利用が広がる、自動でチャットの応対を行なうプログラムはチャットボットと呼ばれる。ほかにも、ウェブサイトを巡回して、コンテンツをスクレイピングする「クロールボット(クローラー)」などがある。
しかし、セキュリティ分野におけるボットは、不正行為を働く自動プログラムとしてみなす。つまり、ボットはマルウェアの一種であり、そのボットがネットワーク化され、集団的に攻撃を仕掛けられるように進化したものが「ボットネット」である。組織化されたボットネットは、攻撃者がボットに感染した数多くの端末を連携させて大規模な攻撃を仕掛けることが可能だ。感染した端末の数が多ければ多いほど、攻撃力は高まることになり、脅威は一層増すことになる。
Miraiボットネットとは?
こうしたボットネットの中で、特に知名度が高いのが「Mirai」と呼ばれるボットネットだ。Miraiボットネットは2016年9月に発見された、IoT機器をターゲットとするマルウェアだ。
IoT機器がMiraiに感染してしまうと、即座にボットの本体がダウンロードされ、攻撃者が操るC&Cサーバー(ボットネットに指令を送り、制御するサーバー)からの指示のもとで攻撃に加わる。すなわち、C&Cサーバーの指示によって、多数の端末が一斉にターゲットに対してDDoS攻撃を仕掛けるのだ。
また、並行して次の「攻撃対象」を求めるべく、ネットワークを探索する。アクセス可能な端末を検出次第、「辞書攻撃」でログインを試み、感染を広げていく。このように、感染力が強いことから、感染台数が指数関数的に増加する恐れがある。
「Miraiボットネット」による被害事例
Mirai(ミライ)ボットネットによる被害は2016年以降、たびたび生じている。中でも、大きな被害に至ったものは2016年9月に発生した、米国のセキュリティウェブメメディアを狙った攻撃だ。この攻撃では、およそ18万台規模の機器が一斉に攻撃に加担することになり、過去に例を見ない100Gbps超のDDoS攻撃が複数回行なわれた。
また、最大値のスループットが620Gbpsに達し、当時としては史上最悪の規模に拡大した。この攻撃は後日、DNSサーバーに対しても行なわれ、多くのSNSや大手ECサイト、金融サービスなどでも障害が発生することとなった。
新たなボットネット「Meris」
Miraiは、先述の大規模攻撃とほぼ同時期に、ハッカーフォーラム上にソースコードが公開された。また、その後GitHub上に転載され、そのソースコードを元に複数の亜種が作成された。2017年11月から12月にかけて、これらMiraiの亜種による、大規模な感染活動が確認されるに至った。しかし、2018年1月にはその感染状況も以前の水準に減少するなど、活動は沈静化した。
2021年8月から9月にかけては、新種のボットネット「Meris(メリス)」の脅威が広まった。8月の攻撃では、1720万RPS(Request Per Second)、9月の攻撃は、2180万RPSもの攻撃トラフィックが観測された。これは、過去にMiraiで観測されたトラフィックの3倍以上に達し、当時では最大規模のDDoS攻撃とされる。
MerisもMiraiと同様に、IoT機器の脆弱性につけ込むボットネットであり、東欧メーカー製のルーターの脆弱性を突き、攻撃のためのネットワークを構築した。そして今後も、こういった新たなボットネットが登場する可能性は否定できない。
ボットネットの脅威への対策
MiraiやMerisのようなIoT機器を狙ったボットネットの感染を防ぐには、以下の5点が重要となる。
1) IoT機器のユーザーIDやパスワードを初期設定から変更
ルーターなどのIoT機器のユーザーIDやパスワードは、初期出荷状態では個別にユニークなものが付与されていないものもある。その場合、「User」や「admin」、「password」など、メーカーが設定したIDやパスワードとなっている。こうしたIDやパスワードは「辞書攻撃」で真っ先に破られてしまうため、必ず変更しておくこと。その際、できるだけ強度の高いユーザーIDとパスワードを設定するようにしたい。
2) IoT機器のファームウェアを常に最新のものに更新
ボットネットの多くがIoT機器のファームウェアに潜む脆弱性を狙って侵入を試みる。近年は脆弱性が見つかるとすぐに修正パッチを提供するベンダーが増えている。ボットネットの侵入を防ぐために、ファームウェアを常に最新のものに更新しておくことが大切だ。
3) 使わなくなった古いIoT機器をネットワークから除外
さまざまな理由で不要となり、ファームウェアの更新なども行なわれなくなった古いIoT機器にボットネットが侵入し、感染を広げていった事例もある。古いIoT機器は、LANケーブルを取り外すなどして物理的にネットワークから切り離すことが大切だ。LANケーブルを取り外せない場合は、代わりに電源コードや電池を抜くという代替策もある。
4) ネットワークのトラフィックを監視
ボットネットに感染すると、ボットネットが外部のC&Cサーバーと通信を繰り返すことにより、ネットワーク内のトラフィックが増加することがある。ネットワークトラフィックを計測するツールを導入し、常時トラフィックを監視しておくことで、ボットネットへの感染をいち早く察知できる。
5) ネットワークのゲートウェイによる保護
ボットネットはC&Cサーバーと通信を行ない、その指示のもとで攻撃するため、攻撃を察知し次第、ゲートウェイで対処することで攻撃を抑止することが可能だ。出口対策の機能が備わっているUTMなどのソリューションを導入することで、万一ボットネットに感染しても攻撃に加担することを防げる可能性は増す。
これら基本的な対策を講じるだけでも、ボットネットに感染するリスクは軽減する。また、感染した場合でも、攻撃に加担することは避けられる。IoT機器だけでなく、デジタル端末はリリースから時間が経過すればするほど、脆弱性が発覚する可能性が高まる。こうした現実を受け止め、適切な対策を進めるべきだろう。