IoT ボットネット攻撃の解析

Fastly のセキュリティチームは、自社ネットワークインテリジェンスを活用して最新の Web をプロアクティブに保護すべく尽力しています。インターネット上で発生した直近の (かつ厄介な) 脅威をいくつか調査したところ、新興の IoT 市場が攻撃の対象となっていることが分かりました。インターネットに接続されるデバイスは工場で量産され、驚くようなスピードでマルウェア、つまり悪意のあるコードに感染しています。感染した多数の IoT デバイスは、即座に新しいデバイスを巻き込もうと試み、ボットネットに加わり、大規模な DDoS 攻撃に参加します。その結果、最近では、史上最大規模の DDoS 攻撃が実行されました。感染した何十万台ものデバイスが形成した巨大 IoT ボットネットが、ジャーナリストの Brian Krebs 氏と Dyn を攻撃したのです。

問題はどの程度深刻なのでしょうか？IoT ボットネット攻撃を対象に個々のデバイスレベルまで掘り下げて詳細に分析したところ、いくつかの興味深いデータが得られました。

• IoT デバイスはインターネットに公開されてから平均6分以内にマルウェアに感染し、攻撃を引き起こしていました。

• 1日の間に、IoT デバイスはその脆弱性について、全世界の攻撃者から1時間あたり800回の探りを入れられていました。

• 1日の間に、1デバイスにつき平均400回以上のログイン試行が見られました。これは平均すると5分間に1回の試行であり、平均してその66%が成功していました。

攻撃の大半は、DVR、IP カメラ、NVR (ネットワークビデオレコーダー) など、広く使用されている IoT デバイスを標的にした、悪意のあるスクリプトによる自動化攻撃でした。最も一般的なマルウェアは、IoT とその他のデバイス (プロセッサーを含む) のほか、自動車業界、電子計器、ヘルスケア分野などで使用されているハードウェアプラットフォームも攻撃の対象としていました。これらの攻撃の範囲は、IP カメラやホームルーターにとどまりません。

一方、攻撃者は世界中に分散しており、上位5か所は以下のとおりです。

• 中国 : 13.5%

• ブラジル : 9.9%

• 韓国 : 8.6%

• ベトナム : 7.1%

• インド : 5.8%

近年の Mirai 攻撃は、IoT がより幅広いインターネットにもたらす脅威に焦点を絞っています。64億台のデバイスがオンラインになるというのは、相当な攻撃力を意味します。現時点におけるセキュリティコミュニティの見解としては、このような惨事を引き起こした原因は、IoT ベンダーがこれらのデバイスにフル機能の Linux ベースのコンピューターを搭載し、かつボットが簡単に推測できるデフォルトのユーザー名とパスワードを使用したことです。これが原因で、攻撃者とそのマルウェアがログインし、任意のボットネットコードをアップロードして、攻撃を開始することが可能になっています。

これらのデバイスを運用する企業や消費者、またブロードバンドプロバイダーなどデバイスをデプロイする誰もが、ハードウェアが攻撃に利用されないように責任を持たなければなりません。デフォルトのパスワードを変更し、オープンなネットワークからのログインを無効にする必要があります。ただし長期的には、セキュリティ基準の確立が必須です。そのために、業界は販売やインストールされるデバイスに関する要件を確立する必要があります。大手のブロードバンド機器ベンダーや CableLabs などの業界グループがこの問題に共同で取り組むのが本筋ですが、それが難しい場合は FCC がその役割を担うことも考えられます。ただし、何百万台ものデバイスにルールを強制する必要があるとなると、実行は容易ではありません。このような規制についてはヨーロッパでも議論されていますが、何としても解決策を見いださなければなりません。攻撃者がこれらすべてのデバイスを DDoS の武器に変えてしまう前に、何らかの対策を講じなければ、さらに多くのサイトがダウンすることになります。誰もそのような事態は望まないでしょう。

次回のブログ記事では、メーカーがこれらの脅威にどのように対応しているかを見ていきましょう。私たちは、いくつかの IoT デバイスについて、インターネット上での作動を検証しています。

Fastly のセキュリティチームについてご興味がありましたら、ぜひ最新のブログ記事にご注目ください。