ASERT 2016年、ボットネット所有者がIoT

デ バ イ ス を 自 分 の ボ ッ ト ネ ッ ト で 徐々に使用し始めました。この移行 の主な理由は以下のとおりです。

今日においては、IoTデバイスを利用したDDoS攻撃の実 行が広く蔓延しています。以下の例を考えてみましょ う。

01 / ^IoTデバイスは往々にして、デフォ

ルトの資格情報を備えているか、

既知のセキュリティ問題を抱えた 状態で出荷されます。

02 / セキュリティを備えていないデバ イスは数百万台存在しており、新 規デバイスが毎日オンライン上に 出現しています。

03 / ^IoTデバイスは年中無休でオンライ

ン状態にあります。したがって、

それらはいつでも攻撃に使用可能 であるといえます。

04 / IoTデバイスは往々にして、高速イ

ンターネット回線に接続されてお り、大量の大規模攻撃を生成でき ます。

05 / IoTデバイスは通常、管理されてい

ないため、匿名プロキシとして極 めて利用しやすくなっています。

06 / それらのデバイスを検知、ハッキ ング、使用によって攻撃を実行す るために必要となるテクノロジー とノウハウは公開されており、現 在 さ ま ざ ま な ブ ー タ ー/ス トレ ッ サー・サービスで使用されていま す。

2016年夏

2016年夏のリオでは推定1万台のIoTデバイス（主に Webカメラ）によるLizardStresserコードを使用した ボットネット利用により、540Gbpsの持続的なDDoS 攻撃が発生しました。⁷

2016年9月

2016年9月、推定1万4,000台のIoTデバイスを使用 した一連のDDoS攻撃が、セキュリティ・レポーター

のBrian Krebs氏に対して開始されました。攻撃は約3

日間続き、トラフィック量は推定で最大620Gbpsとな りました。⁸

2016年10月

2016年10月には、権威あるDNSプロバイダである Dynに対して、IoTデバイスの使用による多数の攻撃 が発生し、米国東海岸の各種インターネット・サービ スが機能停止しました。⁹

2016年11月

2016年11月、フィンランドのアパートメント・ビル の環境制御システムに対するDDoS攻撃が発生し、シ ステムがシャットダウンしたことにより、2日間にわ たり居住者が文字どおり厳寒にさらされました。¹⁰

7 www.arbornetworks.com/blog/asert/lizard-brain-lizardstresser/

8 krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

9 krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/

10 thehackernews.com/2016/11/heating-system-hacked.html

ASER T

—

Mirai は、 IoT デバイスに感染 して制御するための特別な設 計となっています。さらに、

内部には大規模ボットネット を管理・構築するために必要 なコードを含んでいます。

2016年 11 月、Miraiボットネットのソース・コードが公開さ

れました。¹¹ Mirai は、IoT デバイスに感染して制御するため の特別な設計となっており、内部には大規模ボットネットを構 築・管理するために必要なコードを含んでいます。すでに、新

たな Mirai の亜種もいくつか作成されています。そのうちの一

つが2016年11月末に使用されて、DSL CPEに内在するNTP サーバー解析の脆弱性を利用することにより、欧州の大規模 サービス・プロバイダを攻撃しました。

2016 年 10月、Arbor Networks は Mirai ボット ネットの脅威の概要をまとめました。このレポー トは以下より入手可能です。

http://jp.arbornetworks.com/iot%E3%82%92%E 7%8B%99%E3%81%86mirai%E3%83%9C%E3%

83%83%E3%83%88%E3%83%8D%E3%83%83%

E3%83%88%E3%81%A8ddos%E6%94%BB%E6

%92%83%E3%81%AE%E7%B7%A9%E5%92%8 C/

将来的には、ボットネットで使用されるIoT デバイスのほとん どがインターネットに直接アクセスするか、あるいは NAT を 介したスタティックまたはuPnP のポートフォワーディングが 可能になります。これは通常、CPEデバイスやWebカメラが 該当しますが、インターネットから直接到達できない NAT 後 方には依然として数億台ものデバイスが存在しています。現行

の Mirai ボットネットのコードは、感染対象のインターネット

接続デバイスがないかスキャンします。侵害されたデバイスが すでに NAT ゲートウェイ後方に存在するとき、あるいは最悪 の場合として NAT ゲートウェイ自体が侵害されているとき、

内側のIoT デバイスをスキャンするためのコードを適用するこ とが容易となります。

また、この問題は、ネットワーク管理を簡素化し、導入コスト を削減する可能性を持つSDN（Software Defined Networking） ソリューションに拡大するおそれがあります。SDN では、中 央コントローラーがコマンドをネットワーク対応のデバイスに 発行し、動作や行動を制御します。そうした導入に対するセ キュリティ対策を考慮しない場合、それらのインストールに よって超強力な大規模ボットネットになってしまうおそれがあ ります。

11 krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

ASER T

ミティゲーション

—

オンライン上には数十億台の IoT デバ イ ス が す で に 存 在 し 、 そ こ に 毎 日 約 550 万台ものデバイスが加わっていま す。

すべての IoTベンダーがデバイスの強化と適切な セキュリティ対策の実施を急遽決めたとしても、

セキュリティを備えていないデバイスはすべて存 在し続けることになります。また、デバイスに よってはセキュリティ機能を導入するだけのハー ドウェア/ソフトウェア機能がないものさえありま す。

先述したように、現行の IoTデバイスの大半で使 用されるハードウェアとソフトウェアは、アジア を拠点とするごく少数のメーカーが出荷していま す。数々の問題に対するソフトウェア修正は、

2014 年度に英語バージョンのソフトウェアにつ いてのみ行われました。同じ修正の他言語版はま だリリースされていません。

AppleのHomeKitデバイスは、例外的に注目する

価値があります。このソリューションは、最初か らセキュリティを施した設計となっており、自動 ソフトウェア・アップデートを利用することに なっています。Apple の自動ソフトウェア・アッ プデートは iPhone ユーザーに極めて好評であ り、全ユーザーの60%～70%が1週間以内にアッ プグレードを行っています。

IoT デバイスのセキュリティと DDoS 攻撃に対する防御のベスト・プラク ティスを見てみると、以下のアプローチでは何度も成功が実証されていま す。

IoT または埋め込み型デバイスを所持しているか使用してい る場合

IoT デバイスを他のサービスやインターネットから隔離します。IoT 電球にインターネット・アクセスは必要でしょうか。

プリンターにインターネット・アクセスが必要かどうか明らかにしま す。インターネット上のChargenリフレクションDDoS攻撃のほぼ すべては、インターネットへの直接アクセスを備えたプリンターを使 用します。

デバイスのソフトウェアとファームウェアをアップデートします。

DVR のソフトウェアを最後にアップデートしたのはいつでしょう か。

デバイス上の不要なサービスをシャットダウンします。SSDPリフレ クションの大半はSSDPが有効になっている家庭用CPEルーターか らです。また、DNS リフレクション攻撃は往々にして、DNS フォ ワーディングが有効になっている、セキュリティに未対応の CPE デ バイスを使用しています。

セキュアな製品の組み立て証明記録を有するメーカーのデバイスを使 用し、セキュリティ・ソリューションに関するメーカーの説明責任を 担保しておいてください。

発信の帯域幅をモニタリングします。システムの動作が鈍くなってい るのはシステムの問題でしょうか。WAN ルーターのビジー状態は DDoS攻撃を開始しているからではないでしょうか。

DDoS攻撃を防御するために以下の手順を実行

01 / イングレス・フィルタリングについては最新のベスト・プラク ティスを実施します。

02 / 管理プレーン・トラフィックをデータ・プレーン・トラフィッ クから切り離します。

03 / デバイスの強化を行い、不要なサービスをシャットダウンしま す。

04 / 自分のトラフィック・パターンを理解し、通常のトラフィック の様子を把握しておきます。

05 / ^DDoSミティゲーションの多層ソリューションを導入します。

ASER T

結論

—

ネットワーク動作が可能な埋め込み 型デバイスや IoT デバイスを DDoS 攻撃に利用することは、新しい手法 ではありません。欠陥のある CPE を 使 用 し た 、 作 為 の な い 最 初 の DDoS 攻 撃 が 2003 年 に発 生 し 、 2010年以降は攻撃者が積極的に IoT デバイスを使用するようになってい ます。

2016年には、インターネットに接続された、

セキュリティに対応していない IoT デバイス の数が過去最高になりました。IoT の脆弱性 を利用する設計になっている IoT マルウェア とブーター/ストレッサー・サービスのリリー スによって、IoT デバイスを利用した攻撃が 新たな定番となっています。基本的に、セ キュリティに対応していない IoT デバイスの 数 は ク リ テ ィ カ ル ・ マ ス に 達 し て お り 、 DDoS 攻撃者のツールキットで選択される武 器と化しています。

IoT デバイス（またはネットワーク動作可能デバイス）は基 本的に特殊用途のコンピューターであり、これまでと同様の 手法でセキュリティ対策を実施できます。

01 / デバイス自体にセキュリティ対策を実施します。メーカーのガ イドラインやベスト・プラクティスに従ってデバイスを強化し ます。認証と許可を行い、ネットワーク管理プロトコルが適切 にデータ・プレーン・トラフィックから切り離されるようにし ます。

02 / 上記のとおりにデバイスをセキュアな状態にできない場合、デ バイスをインターネット接続デバイスやその他のデバイスから 切り離して分断します。また、すべてのデバイス間通信を制御 し、デバイスが不正な動作をできないようにします。

03 / ^DDoS 攻撃に対する防御のベスト・プラクティスに従います。

それらのベスト・プラクティスでは過去にうまくいったことが 実証されており、適切に実施すればうまくいくはずです。

04 / 利用中のサービス・プロバイダまたはピアリング・パートナー にアドバイスを求めます。攻撃はますます大規模化しているた め、協力が成功の鍵となります。