ボットネット

2016年9月に史上最大級の分散型サービス妨害（DDoS）攻撃を発生させたIoTマルウェア「Mirai」。その手口や展開、踏み台にされたIoT機器の危うい現状について包括的に分析した報告書が、このほどカナダで開かれたUSENIX Security Symposiumで発表された。

USENIXが発表した報告書

報告書は米ジョージア工科大学などの学術機関やAkamai、Googleなどの研究者がまとめた。Miraiは組み込み機器やIoT機器に感染してボットネットを形成し、狙った標的にDDoS攻撃を仕掛けるマルウェア。それまでのIoTボットネットと違って、インターネット全体に及ぶスキャンやIoT機器のデフォルトのパスワードを利用して効率的に感染を拡大し、この手口を採用する亜種の続出を招いた。

報告書によると、Miraiに感染したIoT機器は最初の20時間で約6万5000台に上り、瞬く間に20万〜30万台に到達、ピーク時の2016年11月下旬には60万台に達していたという。

狙われたのはDVRやIPカメラ、ルーター、プリンタなどの機器で、デフォルトのユーザー名とパスワードを突く手口が使われた。報告書では特に感染数が多かったデバイスのメーカーとして、Dahua、Huawei、ZTE、Cisco、ZyXEL、MikroTikを挙げている。他にもパナソニック製プリンタの「00000000」、Samsung製IPカメラの「1111111」、Xerox製プリンタの「1111」といったパスワードが利用された。

2016年9月に発生した攻撃では、米セキュリティ情報サイトの「Krebs on Security」やホスティング業者のDynがダウンした。しかし標的はそれだけにとどまらず、膨大な数のゲームサーバや通信事業者、DDoS対策プロバイダーなどが攻撃されていたという。

Miraiのソースコードが公開されたことから、亜種の出現も相次いだ。以後のIoTマルウェアは、ルーターを使った広告詐欺、カメラを使った脅迫、NASを使ったビットコインマイニングなどに利用され、IoTデバイスのエコシステムのもろさを浮き彫りにした。

その背景として報告書では、デスクトップPCで築かれてきたようなセキュリティのベストプラクティスがIoT機器には欠如していたことから、悪用される条件は整っていたと解説。「斬新な悪用の手口が大量のローエンドデバイスを攻撃し、厳重に守られた標的をも脅かしかねない現実を浮き彫りにした」と指摘する。

「そうした手薄な防御を改善しない限り、IoTベースの攻撃は有力な敵対手段であり続ける」と報告書は述べ、「Miraiが警鐘となって、業界や学会や政府機関でIoTのセキュリティやプライバシー、安全性に対する認識が高まることを望む」と結んでいる。

Copyright © ITmedia, Inc. All Rights Reserved.