歴史上もっとも大きなスケールのDDoS攻撃を生じさせたとされているマルウェア「Mirai(ミライ)」ですが、どういった理由で幾多のIoTデバイス内部のファイルへとMiraiが組み込まれてしまったのでしょうか。本格的なIoT時代が訪れる前に、もう一度Miraiによる体系的に攻撃する方法と対策について解説します。
Mirai(ミライ)とは何か
2016年9月、セキュリティ情報ブログ「Krebs on Security」が、とても多くのパケットを示された目標に向けて送り出すことでサービスをダウンさせてしまう、世間一般に言われる「DDoS攻撃」の被害に遭遇したことによって、サーバがシステムダウンしてしまいました。世間で注目を集めている事柄はその攻撃のスケールで、同サイトに向けて665Gbpsもの広い帯域幅がDDoS攻撃に使用された状況にあることがわかっており、これは当時において歴史上もっとも大きなスケールのものでした。
この665Gbpsもの通信回線を通じて送受信される情報をどのようにして作り上げたのでしょうか。事実を言えばこの攻撃は、インターネットへの接続機能を具備したネットワークルータやWebカメラなどといった機器(IoTデバイス)を標的にしたマルウェア「Mirai」によるものであると考えられています。この攻撃と間髪を容れずに、フランスのホスティングサービス「OVH」に対しても、送受信される情報の量が最大になる時間帯に1Tbpsを上回るDDoS攻撃を精密に観察・測定されており、大規模攻撃を可能とするボットネットが世間に現れたことが注目されました。
また、2016年10月にMiraiを作り上げるために記述した1行1行の命令がインターネット上の掲示板サイトに公開されたことで、その特徴があからさまとなりました。今回はこのマルウェアであるMiraiが引き起こした情報システムの運用や個人情報の管理に支障を来すような事態に陥りかねない状況の内容とそのソースコードから、IoTデバイスの開発などに従事する技術者や事業者が考えるべきポイントを考証します。
ボットネットとは
まず、ボットネットとは何であるかを学び理解していきましょう。ボットネットは幾多の攻撃能力を有している機器が攻撃対象のサーバへなだれを打って通信して、サーバ負荷をかけるという攻撃体勢に入ります。ここでいう「攻撃能力を有している機器」とは、マルウェアがファイルに組み込まれた一般市民のパソコン端末であることが多く、C&C(コマンド&コントロール)と呼ばれる管理端末を操作することによって、マルウェアに感染した機器がすべて同時に標的へダメージを与えます。これを利用して攻撃対象であるサーバへ特定のパケットをふんだんに転送することによって、攻撃対象サーバにおいて動作時間を占有するプログラムを増大させて、タスクを処理するために必要なシステム資源を枯渇させてサービスを正常に提供できない状態に落とし入れます。
こうした内部構造で作成されている理由は、サイバー犯罪者が数多くの機器にマルウェアをファイルに組み込むことによって、DDoS攻撃要因として遠隔操作されるボットの集合体であるボットネットのコントロール権が、ブラックマーケット(闇市場)において、時間貸しで利用者に販売されているため、サイバー犯罪者は金銭を把持でき、利用者は技術力がなくてもサイバー攻撃を標的に対して仕掛けられるのです。
ボットネットはブラックマーケットで商品として売りに出されるだけでなく、負荷テストツールという表現でなんの隠しだてもなく提供されている場合もあります。このように、犯罪者が金銭目当てで作成したボットを簡単に利用できることでエコシステムが構築されているのです。ボットネットを組み立てるためのC&Cサーバ・クライアント機能が搭載されたマルウェアであるMiraiは、大きな特徴であるボット化の目標となる機器がLinuxにおいて動作するIoTデバイスであったことによって、今回のようなとてつもないボットネットを組み立てられたため、歴史上めったに見られない規模の攻撃が成り立ったのです。
ソースコードから考えられるMiraiの構造
2016年10月にMiraiの作成者と見受けられるAnna-senpai(ハンドルネーム)、が何の前触れもなく不意にソースコードを公開したことによって、感染メソッドが明白になりました。まずランダムなIPアドレスに対して感染先を探した結果、感染できるデバイスを見つけ出し、感染可能な端末にログインしてボットをダウンロードさせます。このときに利用されているのがソースコード内に設定された、よく似た例がたくさんあるIDとパスワードの組み合わせです。
Miraiに感染した端末は感染可能なデバイスが周辺に存在した場合に、遠隔操作するための通信機能であるtelnetを利用して接続することによって、「admin/admin」「root/123456」「guest/guest」といった、人の手が加わっていない工場出荷時状態の機器に初期設定されていそうなID/パスワードで、どんな結果になるかわからないがとにかくログインをやってみます(辞書攻撃)。万に一つの確率でログインされてしまった場合は、その端末自身もMiraiに感染してより一層の感染可能な端末を見つけようとします。
DDoS攻撃には複数の攻撃手法があり、大量のUDP(User Datagram Protocol)パケットを転送する「UDPフラッド攻撃」、大量のHTTPリクエストを転送する「HTTPフラッド攻撃」、ドメイン名がどのようなIPアドレスに対応しているのかを取得したり参照したりするDNSの仕組みを利用して負荷をかける「DNSリゾルバフラッド攻撃」などで、特定のコンピュータゲームの開発で汎用的に利用されるソフトウエアに対する攻撃も含まれていました。ソースコードからは相当の程度以上に機能が優れているボットネットを構築できることを推察できます。無作為抽出のIPアドレスに対する攻撃であったとしてもたくさんの機器がほぼ間違いなく感染してしまうため、今回のような非常に大きいボットネットが形づくられてしまったのです。
Miraiとの戦いを終わるように仕向けるのはあなた自身
それでは、Miraiからの感染といった好ましくない事態が生じないようにするにはどうしたらよいのでしょうか。IoT機器に限定されませんが、パスワードは人の手が加わっていない工場出荷時の初期設定から必ず変更しなければなりません。初期設定の認証情報は取扱説明書に記載されているため、攻撃者にはすでに知られている情報になっていると考えるべきです。
それゆえに初期設定のパスワードでは、システムを利用する際に必要な本人確認がされてない状態と同等のレベルであるといっても大げさな言い方ではありません。パスワードを変更する場合、できる範囲で最大限に複雑で長いパスワードを設定することが好ましく、必要がないのであればIoT機器を直接インターネットに接続せず、インターネットからアクセスする必要がある場合には、IoT機器自体やファイアウォールによる正しい方法でアクセス制限することが必要です。
感染要因の1つとして「初期設定のパスワードを使い続けている」ということが挙げられます。IoTデバイスの中にはパスワードが直接ソースコード中に埋め込まれているため、利用者が変更できないだけでなく、知られない場合もあり得ます。これは今となってはコンピュータを外部ネットワークから不正に操作するための出入り口(バックドア)であり、メーカーやベンダーの問題として大きく取り上げられるべきものです。
パスワード関連については特に留意を必要とするべきで、利用者が文字数や文字種の拘束されることなく思うがままに変更可能であることや、初期設定パスワードのままでは運用しないように製品出荷時から個体ごとにパスワードを変更する、さもなければ最初のログイン時に必ずパスワードを変更させるといったよい点を採用するべきです。
また、暗号化されていないデータ通信が行われているという点は注目すべき事項となります。telnetやHTTPといった通信プロトコルは暗号化されていないデータ通信ですので、暗号化機能を実装してセキュリティを高めたSSHで通信を暗号化する製品を設計するべきです。また、バックドアと認識されかねない、マニュアルに記載されていないようなtelnetポートが存在しないようにすることが大切です。
ソースコードが明らかになったことによって、Miraiの挙動や対策が顕著になりましたが、そのことは攻撃者にとっても問題を解く大きな手掛かりとなり、Miraiを改造したものだろうと推測される新たなマルウェア(亜種)が登場する可能性も高くなってしまいます。新たな攻撃を制止するためには、表面に表れた状況に対応して物事を処理するのではなく、『IoTデバイスを設計する段階において、セキュリティをデザインすること』を重要視する必要性があります。IoTデバイス開発の指針や指標も、現在では豊富に登場していますので、これらを参考にすることによって、便利で安全なIoTデバイスを市場に送り出してください。
今までなかった新しい「疫病」ボットネット
2021年8月~9月の間に世界各地で過去に例を見ない、程度がそれ以上はないほど大きなサイバー攻撃が息つく間もなく発生しました。その中でも特に、今までなかった新しいボットネット『Meris』が意のままに約25万台ものルーターをうまく利用して攻撃を仕掛けました。その威力は5年前に並ならぬ爪痕を残したIoTマルウェア『Mirai』の3倍を超越していました。
9月5日には、ロシアのIT大手企業Yandexが標的となり、Yandexに対して転送された不正な何らかの処理を要求するためのメッセージは毎秒2180万と推定されています。
続いて9月9日にはセキュリティジャーナリストである、ブライアン・クレブズ氏のウェブサイトである『KrebsOnSecurity』が大規模DDoS攻撃を受けて一時的につながりにくくなりました。同サイトは2016年、Miraiによる大規模DDoS攻撃によって、4日間システムダウンする被害に遭遇していますが、当時転送されてきた不正な何らかの処理を要求するためのメッセージが毎秒約45万だったのに対し、今回は4倍超にあたる毎秒200万以上であったと伝えられています。
引用元:https://krebsonsecurity.com/2021/09/krebsonsecurity-hit-by-huge-new-iot-botnet-meris/
Qrator Labsは一連の攻撃に使われた新種のボットネットを、ラトビア語で「疫病」を意味する「Meris」と命名しました。Merisは2021年6月に浮上したボットネットで、ラトビアのIoT機器メーカーMikroTik製のルーターを操って、攻撃用のネットワークを構築しているといわれています。
引用元:https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/
本来の用途とは違って悪い目的に利用されたルーターは脆弱性を突かれてMerisに感染したと考えられており、占拠されてしまったIoT機器の総数はQrator Labsが推定して計算したところによると約25万台にまで達しているということです。
Merisと同様のボットネットに統御されてしまうIoT機器における安心できない原因としては、「セキュリティを念頭に設計されておらず、デフォルトで安全ではない状態で出荷されるホワイトレーベルIoT機器を製造する企業の多さ」が取り上げられます。こういった機器は安全が保証されている製品と比較して大幅に安いという事情もあり、現在においても状況はほとんど変化していないというのが現状です。
だからこそ、そのような攻撃によって悪い目的に利用されないためには、ルーターやスマートカメラなどといったインターネットに接続しているIoT機器については、工場出荷時に初期設定されているユーザー名とパスワードを変更するとともに、どんな時でもファームウェアをいちばん新しい状態に更新するなど、セキュリティにおいて、まず、ユーザ自身が危険性をきちんと理解した上で、正しい情報セキュリティ対策を講じなければなりません。
また、Webサービスを提供する企業側でのセキュリティ対策の強化が求められます。Miraiの通信は暗号化されていないデータで行われているため、WAFや専門のDDoS対策サービス等を利用することで十分監視も可能です。
エッジDDoSプロテクション・サービス「Cloudbric ADDoS」
https://www.cloudbric.jp/cloudbric-addos/
https://www.cloudbric.jp/cloudbric-waf/
https://www.pentasecurity.co.jp/wapples/
