2015年3月17日、情報処理推進機構（IPA）は「ネットワーク対応機器を利用する際のセキュリティ上の注意点（参照リンク）」を公開しました。プリンターやFAX機能の付いた複合機、Webカメラ、情報家電といったインターネットに接続できるIT機器に適切なアクセス制限を施すことを促しています。

ここで問題です。悪意を持った攻撃者が企業を攻撃しようと思うとき、狙うのはどんなIT機器でしょうか？ 実は社内の「プリンター」が狙われるケースが多いのです。ほとんどの社員のPCがそこにつながっていますからね。セキュリティの担当者は、ファイアウォールで入り口を守るのは当たり前ですが、万が一、そこが突破されたらというところまで思いを巡らせるべきです。

個人宅だったら関係ないよね？

個人だったらセキュリティ対策ソフトの導入だけでいいので気が楽ですね。とはならないのがインターネットのセキュリティ。

前回のコラムでもチラッと表示されていたのですが、ネットの世界には「たった800円程度でDDoS攻撃を請け負うよ」というオンラインサービスが存在します。DDoS攻撃とは、狙いをつけたIPアドレスに対して無意味なアクセスを大量発生させ、相手のサービスを使用不能にするものです。



DDoS攻撃を請け負うサービスメニューの一部

表向きは「自社サービスの負荷テストに使うため」のもの。しかし、6.3ドルで最大5Gbpsもの攻撃ができます。5Gbpsの帯域を攻撃に使われては、一般的な企業であれば確実に影響が出ます。いまや、攻撃も「クラウド」で「サブスクリプション」といったところでしょうか。

この“サービス”、どのようにしてDDoS攻撃――もとい、負荷テストを行っているのでしょうか。5Gbpsなんていう攻撃を行うためには、かなりの機器を用意する必要があります。ところが、その価格はたった800円程度。まっとうな手段では採算が合いません。

詳細は不明ですが、どうやらさまざまな脆弱性を利用し、古い設定のまま運用されているサーバやルータに攻撃を肩代わりさせているようです。つまり「他人が用意した脆弱な機器を勝手に使うので、元手がほとんどかかっていない」ということ。この「設定の甘い」機器のなかには、家庭で利用しているルータ機器も含まれるというのがセキュリティ専門家の見方です。

なぜたった800円で大規模攻撃ができるのか

さて、ここまで簡単に大規模攻撃ができるようになると、「こんなに安いなら、あのムカつくサービスを懲らしめられるな」と、安易な気持ちで犯罪行為に手を染めてしまう事件も発生しています。2014年9月には、高校生がオンラインゲームのサーバに対してDDoS攻撃を「面白いので何度もやった」として逮捕されています。

このような不幸な出来事を防止するために、私たちにできることがあります。それは家庭内にあるネットワーク機器を安全に保つこと。攻撃者たちに加担しない状況になれば、このような“サービス”自体が成り立たなくなります。このコラムを読んだら、ぜひ、自宅のIT機器設定をもう一度見直してみてください。「わが家のIT管理部長」の活躍に期待しています。