急激に普及するIoTデバイス脅威の現状第3回
~爆発的に増えるIoTマルウェア攻撃の実態~
身の回りにあふれて便利に活用されているIoTについて、活用例やセキュリティガイドラインの現状などに焦点をあてて、これまでお届けしてきました。3回目となる今回は、IoTマルウェア攻撃とはどういったものなのか、IoT デバイスを攻撃から守るにはどうしたらよいかといったセキュリティ防衛まで切り込み、実際のIoTに関わる攻撃事例と併せてレポートしてみたいと思います。
- 以前記事参考≫
IoTデバイスの仕組み
IoTデバイスが攻撃に対して脆弱なのはなぜなのかを理解するには、それらのデバイスがどのような仕組みで動作するのか、まず知る必要があります。
- ハードウェア
ハードウェア設計のIoTデバイスにはセンサー、アクチュエーター、またはその両方が内蔵されています。センサーはモノをモニターし、温度、光量、バッテリー・レベルなどモノに関するデータを提供します。アクチュエーターは内蔵されたハードウェアを使用してモノを制御します。例えば照明や暖房機のオンオフ、ロボット掃除機を指定の場所まで動かすなどをします。
デバイス上で実行されるソフトウェアを意味する組み込みファームウェアと、OS ベースのファームウェアとがあります。IoT デバイスがセンサーの数を増やしたり、より大量のデータを処理したりするため、これらのソフトウェアも複雑なものになっています。
- ワイヤレス通信
802.11 Wi-Fi を使用してルーターに直接接続して機能するよう意図されているデバイスなどは、ルーター経由でインターネットにアクセスできます。セキュリティカメラや前回ご紹介したようなスマートホームデバイスなど、あらゆるものが遠隔から制御することが可能です。
IoTデバイスのセキュリティ上の問題点
- パスワード
IoTデバイスを使うのは一般家庭のエンドユーザーも多く、製造メーカーは簡単にセットアップできて使いやすいデバイスにするよう開発しています。そのためセキュリティについて複雑化することを避け、単一のユーザー ID とパスワードの組み合わせを使用してログインできるようにするなど非常に簡素化したログイン方法を提供するデバイスも多くあります。デバイスがセットアップされた後、大半のユーザーは何も考えずにデバイスを使い続けて、デフォルトのパスワードのまま使い続けることも多くあります。
- 暗号化の欠如
多くのIoT デバイスでは暗号化をサポートしていません。暗号化されていないまま重要な情報・データが通信されていれば、悪意をもった攻撃者に内容を簡単に盗まれることになります。
IoTデバイス製造業者は製品サポートのために隠されたアクセス・メカニズムを組み込むことがあります。バックドアと呼ばれるこうした機能は攻撃者にとっては広く開放されたフロントドアのようなものになり得ます。
攻撃はこうしてファームウェアの脆弱性をついたり、企業がメンテナンスのために用意しているバックドアを利用したりするなどIoTの仕組みをついてきます。さらにいうとルーターにつながっているということは、デバイスがインターネットに公開されるということを意味し、常にトラフィックによる攻撃にさらされるということです。ファイアウォールやホストへのアクセス方法を制御できるよう強化されたサーバなどと異なり、多くのIoTデバイスは厳重なセキュリティ対策が講じられずインターネットに野放しになっている現状があります。
ハッカーはインターネット上のIP アドレスをスキャンして、ポートが開いているホストを調べます。そのようなホストが見つかると、admin/admin、root/adminといったデフォルトのユーザー ID とパスワードの組み合わせ を使用してログインを試行します。もしログインが成功してしまうと、後はデバイスをのっとり、そこからさらに他のデバイスへと乗っ取りを続けます。
IoT攻撃の事例と実体
「セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも」ー(2016年09月26日)
米セキュリティ情報サイトの「Krebs on Security」が大規模な分散型サービス妨害(DDoS)攻撃を受けてダウンした。攻撃の規模は665Gbpsに達していたという。別のWebサイトでは1Tbps近い規模のDDoS攻撃も伝えられ、史上最大規模のDDoS攻撃が相次いで発生している。
引用:https://www.itmedia.co.jp/enterprise/articles/1609/26/news047.html
こちらの史上最悪規模のDDoS攻撃と話題になった事例は、2016年秋以降、複数のDDoS(分散型サービス妨害)攻撃に悪用された「Mirai」というマルウェアによるものです。
MIraiはBusyboxを実行しているデバイス、主に「CCTV カメラ」を攻撃し感染させ乗っ取りを実行しています。Miraiは他にも、インターネットにつながっている家庭用ルーターや、ストレージ製品、デジタルビデオレコーダーといった組み込み機器をターゲットにし、botをダウンロードさせ、攻撃者が操るC2サーバからの命令に従ってDDoS攻撃を実施します。セキュリティ専門のブロガーである Brian Kreb 氏のサイトなどがDDoS攻撃を受けてダウンしました。
「IoT製品乗っ取りサイバー攻撃1億2600万件…家電や通信機器から発信 昨年、前年の6倍に」 ー(2017年1月20日)
家庭にあるインターネットへの接続機能を持つ家電や通信機器など、モノのインターネット(IoT)製品を通じて、年間で約1億2600万件のサイバー攻撃通信が国内外に発信されていたことが19日、総務省所管の情報通信研究機構(NICT)の調査で分かった。サイバー犯罪者が、製品の所有者の知らぬ間にIoT製品を乗っ取り、外部に攻撃を仕掛けていたとみられる。同機構はIoT製品の普及で、こうした危険性が一段と高まっていると判断。近く統計を公表し、関係機関に警戒を呼びかける方針を固めた。
調べによると、同年の件数は約560万件だったが、翌27年は3・5倍の約1960万件に増加。さらに28年は前年の6・4倍にのぼる約1億2600万件にまで急増していた。
引用:https://www.sankei.com/west/news/170120/wst1701200014-n1.html
こちらは昨年の調査で国内外のIoTを利用した攻撃件数が具体的に約1億2600万件と示された事例です。調査では前年比で6倍にものぼり、急速に攻撃件数が拡散している事態に危惧を呈しています。
「異例!政府が個人のIoT機器へのサイバー攻撃を一斉調査」 -(2019年2月14日)
家庭や企業にあるインターネットにつながった家電などのIoT機器。情報通信研究機構によると、国内にあるIoT機器へのサイバー攻撃の件数は2018年、5年前の7倍近く、およそ79万件となり、対応が急務となっている。こうした中、政府などが、極めて異例となる一斉調査に2月20日から乗り出す。
今回の調査は、情報通信研究機構が、悪用されるおそれのあるIoT機器にネットからアクセスして、パスワードなどを調査。
問題があると判断した場合、プロバイダーなどの事業者を通じて、利用者にメールで注意喚起を行う。
先ほども紹介したように、サイバー攻撃の件数はこの数年で急増していて、日本でも政府が介入して調査と対策を講じる動きがでてきました。今年2月に発表されたこちらのニュースでは、政府が特にIoTデバイスに注視してアクションを取っていることを示唆しています。
最後に
自宅の中や企業ネットワーク上 (またはその両方) で IoT デバイスを使っている場合、それらのデバイスはすでに攻撃を受けているかもしれません。恐いのはデバイスがすでに攻撃を受けていて、そのセキュリティが侵害されているという事態気づいてさえいないということです。
乗っ取られたIoTデバイスボットが呼び出されてアクションを起こすまでの時間は 1 時間であることも、数日、数週間、あるいは数か月であることもあります。その間、デバイスの所有者はほぼ確実に、何が行われているのかに気付きません。まずはこうした事実を把握したうえで、デバイスの初期パスワードは使用しない、暗号化されたデバイスを使うようにするなど自分で防衛する意識を持つ事が肝心です。
2014年11月の米ガートナーの発表では「IoTにつながるモノは2020年におよそ250億個になる」と予想しています。これまで紹介したように攻撃件数は激しさをましていて、今後もIoTの普及につれて大きな問題となることが予想されます。IoT製品を提供する企業はもちろんのこと、使う側もセキュリティ面で意識を高めていく必要があります。
ー終ー
