IoTを利用したサイバー攻撃事例と今すぐできる対策とは？

「IoT(Internet of Things)」は皆さんの生活に非常に密接したものです。日々新しい技術や製品が発表され、人々の生活を便利なものにしています。
インターネットにつながることによって便利になる一方、セキュリティ対策の甘さから多くの事件や被害が巻き起こっています。

IoT機器のセキュリティ対策は後回しにされてしまったり、セキュリティ対策をするべき対象として見落としがちなため、十分な対策が行われていないことが多いです。パスワードの設定が初期値のままのことである場合や、脆弱性対策用パッチを適用しないままの場合もあります。
そういった管理が届いていない状態のIoT機器を狙い、多くのユーザーへ影響を与えます。

今回はIoTを利用したサイバー攻撃の事例と対策についてご紹介しましょう。

IoT機器の脆弱性を狙った攻撃については、最近「Mirai」と呼ばれるマルウェアがよく知られています。
インターネットにつながるネットワークカメラやインターネットルータ、デジタルビデオレコーダーといったIoT機器が主な標的です。
これら機器で動作するソフトウェアの脆弱性を利用してマルウェアが感染すると、攻撃者が遠隔操作可能な状態になります。
このように、不正なソフトウェアが感染し、攻撃者が遠隔操作可能な状態になった機器を「踏み台」といいます。
踏み台になると、攻撃者は任意のコマンドを多数の踏み台に対して同時に実行できるようになります。
こうした踏み台を使って、大規模なDDoS攻撃（分散（distributed）DoS攻撃）が発生したことが世界的にも話題になりました。このことから踏み台を利用して、いわゆるボットネットワークが構築されているということが判明しました。他にも、迷惑メールの配信や情報漏えいを狙った操作などがあります。
踏み台にされたコンピュータを持つ人達は踏み台にされたことに気がつかないケースが多く、さらに攻撃者との関係性も無いことが一般的です。
したがって、通信のログだけで攻撃者を特定することは困難です。また、攻撃された場合は対処として攻撃通信のブロックがありますが、直接の攻撃元（踏み台）は一般のインターネットユーザであることが多いことから、本来のユーザにも影響を及ぼすので注意が必要です。

IoT機器の脆弱性を狙った「Mirai」の攻撃事例はどんなものでしょうか？

2016年10月21日以降、米国で断続的にインターネットへのアクセスができなくなり、Twitter、Netflix、PayPal、PlayStation Networkといった著名なインターネットサービスが被害を受けました。
これは、これらのサービスがインターネット上の名前解決をするために利用されるDNS（Domain Name System）と呼ばれるシステムがDDoS攻撃を受けたことが原因で、このDDoS攻撃が「Mirai」に感染したIoT機器から発せられたと言われています。

著名なセキュリティリサーチャーのBrian Krebs氏のブログを狙ったDDoS攻撃がありました。この攻撃は620Gbpsものパケットであったために、ホスティングを提供していたAkamaiでさえ接続を解除しなければならなかった大規模なDDoS攻撃でした。
この大規模なDDoS攻撃も「Mirai」によってボットネットと化した機器から発生したものだとわかっています。

ドイツの通信会社Deutsche Telekomは2016年11月、「Mirai」による攻撃を受け、顧客のサービスに障害が発生したと報告しました。
問題が発生していたのは家庭に設置されているルータで、全顧客の4〜5％になるといわれています。

ボットネットは他に脆弱性のあるデバイスがないか探査する機能がありますが、Deutsche Telekomの顧客の家庭用ルータはこの探査を受けると誤動作やクラッシュを起こすため、インターネット接続ができなくなるといった被害を受けました。
これは「MIrai」によってボットと化したルータが、それ自身の不具合のためにユーザーに被害が生じた事例です。
このように必ずしもボットは想定通りに動作するとは限らず、例え想定通りに動かなかったとしても被害が生じる可能性があるということがわかります。

現在、Bluetooth接続はパソコン、スマートフォンだけでなく、IoT機器など様々なデバイスで無線接続のために利用されています。
最近ではスマートフォンと自動車の接続や、ヘッドフォンにもBluetooth接続の利用が多くなってきており、ますまず生活に密着した技術となってきています。
このような中、「BlueBorne」と呼ばれるBluetoothの脆弱性が明らかになり、話題となっています。
この脆弱性は米セキュリティ企業Armis Labsにより今年4月に発見され、9月12日に公開されました。
Bluetoothの脆弱性を利用して、IoT機器を乗っ取り盗撮や情報の奪取をします。
身の回りのBluetoothを利用する以外はOFF設定にしておきましょう。

Insecamというサイトでは無防備にインターネットにさらされているWebカメラ（ネットワークカメラ）の存在が公開されています。日本においても例外ではありません。ここで公開されているカメラの台数のうち、日本は世界で第3位になっています。
こういったサイトから情報漏えいが発生しています。おそらく、管理者ID/パスワードを工場出荷時のままであったり、簡単なパスワードに設定した状態でインターネットに接続したりしているためと考えられます。
もし、ネットワークカメラを設置している場合は、パスワードの変更ができているか、不審なアクセスが無いかを確認することをおすすめします。

・複雑なパスワードを設定する
パスワードの設定ができるIoT機器の場合は、できる限り複雑なパスワードを設定しましょう。覚えられるパスワードにしたいという考えをしてしまいがちで、ついつい安易なパスワードを設定してしまいます。安易なパスワードは解読されやすく、乗っ取りをされてしまう確率を高めてしまうでしょう。パスワード生成ができるサービスもあるので、パスワードを複雑にして、乗っ取りのリスクを軽減しましょう。

・使わなくなったIoT機器は電源を切る
現時点では使わない、使うことがなくなったIoT機器は電源を切ってインターネットに接続することが内容にしましょう。使用していないにも関わらず、インターネットに接続されている状態があると知らない間に乗っ取りされている可能性があります。
普段使わないため、乗っ取りに気がつくこともなく、情報が奪取されたりボットとして利用されてしまうことがあるでしょう。

・制作元があやふや・不明な機器の使用は避ける。お問い合わせ先の情報がない機器は使用しない
万が一の場合に対応してくれるか不明な機器の使用は避けましょう。
お問い合わせ先の情報やサポートの対応が不明瞭な機器ではなく、機器に関してお問い合わせができるような機器を利用するようにしましょう。

これら対策は難しいものではありません。小さなことからでも対策を行うだけでIoT機器の狙った攻撃を受けるリスクは非常に低くなるでしょう。
是非皆さんも実践してみてください。

CyberSecurityTIMESを運営している弊社サイバーセキュリティクラウドでは、「攻撃遮断くん」「WafCharm」といったWebセキュリティ対策のソフトウェアを提供しております。専門家によるサポートも充実しております。お気軽にお問合せください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 


https://www.shadan-kun.com/

 
（2017/10/24執筆、2020/1/31修正・加筆）