現在における将来のインターネットの予測:IoT機器を使用した内部からの攻撃

2017年10月23日、Arbor Networks
Steinthor Bjarnason著

IP対応IoT機器の数は、過去数年間に劇的に増加しており、IHSによると、2020年までに307億台という驚異的な数に到達すると予測されています。。家庭電化製品、街路灯、パーキングメータ、おもちゃから自動車まで、今日製造されているほとんどすべての機器に何らかのIoT機能が搭載され、インターネット経由でそれらの機器の監視や管理の両方もしくはどちらかができるようになっています。

しかし、残念なことに、これらの小型機器が備える記憶領域や機能は限られており、コスト低減への要求も厳しいこともあり、これらの機器は一般的に安全性が低く攻撃者にとっては攻撃しやすい標的です。攻撃者はこれらの機器を盛んにスキャンして、その後ボットネットに組み込んでいます。WeカメラやDVR(デジタルビデオレコーダー)などのインターネットに接続されているIoT機器は現在、DDoS攻撃を仕掛けるために使用する機器として恰好の選択肢になっており、2016年から2017年に発生して注目を集めたDYN社、OVH社等に対する攻撃でも使用されました。メーカー各社は、インターネットに直接接続されているIoT機器(IoT機器総台数のおよそ5%と推定される)のセキュリティレベルを徐々に上げ始めているものの、残りの95%の機器は、企業のファイアウォールの内側に配備されていることから、攻撃者から安全に保護されていると考えられ、後回しにされています。しかし、2017年2月にこの推測が間違っていることが証明されました。

MiraiのWindows用拡散プログラム

2017年2月、IoT攻撃コードが含まれた新しいWindows用Trojan(トロイの木馬)が出回っているのをASERTおよびその他のマルウェア研究者らが発見しました。このWindows用Trojanの異なる点は、Windowsコンピューターを感染させるだけでなく、スキャンして脆弱性を持つIoT機器をスキャンして発見し、Mirai IoTボットネットコードに感染させることです。つまり、このTrojanに感染した任意のWindowsコンピューターが、その企業のファイアウォールの内側にあるネットワークに接続されている場合、そのWindowsコンピューターは、攻撃者から安全に保護されていると考えられていたその防御壁の内側にあるすべての脆弱性なIoT機器をスキャンして感染させてしまいます。これにより、攻撃者は、手が届かなかった領域にある95%のIoT機器に到達し、今ではこれらのIoT機器を使用して外部へのDDoS攻撃を仕掛けたり、これらを使用してデータセンターやWAN/LANネットワークインフラストラクチャーなどの脆弱な内部リソースに対する破壊的なDDoS攻撃を仕掛けたりすることができるようになりました。これらのリソースは、ほとんどすべての場合、内部からのDDoS攻撃に対しては防御されていないため、この種の攻撃に対しては非常に脆弱です。2017年には、ボットネットDDoSマルウェアと従来のランサムウェアマルウェアが融合され始めました。これは、攻撃者等が、ネットワークインフラストラクチャーに対するDDoS攻撃の方が、エンドユーザーのコンピューターを感染させるよりもはるかに壊滅的な結果をもたすことができることに気付いたためです。

これらの2つの動向を考え合わせると、攻撃者が、標的となるネットワークの内部にすでにあるIoT機器を使用して、外部からのDDoS攻撃と内部から仕掛けるDDoS攻撃を組み合わせ、企業に対して多段階のランサムウェア攻撃を仕掛けようとしていることを容易に理解できます。すべての機器をインターネットに接続しようとする動きは、今日の社会にとって非常に有益なことは明らかです。しかし、こうした動きはセキュリティの側面を考慮せずに行われました。攻撃者等は今、これらの機器を乗っ取り、それらを悪用してその所有者から金銭的利益を奪取するのに忙しいという状況です。

Windows用Mirai拡散プログラムによって、攻撃の技法に変革がもたらされました。企業内のIoT機器を感染させ、それらを使用して企業のファイアーウォールの内側にある脆弱なリソースに対して攻撃を仕掛けることが可能になりました。しかし、セグメント化、モニタリング、DDoS軽減対策、およびステートレスなセキュリティー機器など、ネットワークセキュリティーのベストプラクティスに従って設計・管理されているネットワークであれば、これらの攻撃を検出してその影響を緩和することができます。残念ながら、攻撃を受けている最中にネットワークを保護しようとすることはほとんど不可能です。つまり、攻撃に対する備えが重要です。所有している自らのIoT機器が反乱を起こす前に、ネットワークをセキュアーな状態に保護しておく必要があります。

(この記事は、DEFCON 2017、AUSNOG 2017およびNANOG 71で発表されたASERTのプレゼンテーションに基づいて作成されています。YouTube videoを視聴できます。)