デ バ イ ス を 自 分 の ボ ッ ト ネ ッ ト で 徐々に使用し始めました。この移行 の主な理由は以下のとおりです。
今日においては、IoTデバイスを利用したDDoS攻撃の実 行が広く蔓延しています。以下の例を考えてみましょ う。
01 / IoTデバイスは往々にして、デフォ
ルトの資格情報を備えているか、
既知のセキュリティ問題を抱えた 状態で出荷されます。
02 / セキュリティを備えていないデバ イスは数百万台存在しており、新 規デバイスが毎日オンライン上に 出現しています。
03 / IoTデバイスは年中無休でオンライ
ン状態にあります。したがって、
それらはいつでも攻撃に使用可能 であるといえます。
04 / IoTデバイスは往々にして、高速イ
ンターネット回線に接続されてお り、大量の大規模攻撃を生成でき ます。
05 / IoTデバイスは通常、管理されてい
ないため、匿名プロキシとして極 めて利用しやすくなっています。
06 / それらのデバイスを検知、ハッキ ング、使用によって攻撃を実行す るために必要となるテクノロジー とノウハウは公開されており、現 在 さ ま ざ ま な ブ ー タ ー/ス トレ ッ サー・サービスで使用されていま す。
2016年夏
2016年夏のリオでは推定1万台のIoTデバイス(主に Webカメラ)によるLizardStresserコードを使用した ボットネット利用により、540Gbpsの持続的なDDoS 攻撃が発生しました。7
2016年9月
2016年9月、推定1万4,000台のIoTデバイスを使用 した一連のDDoS攻撃が、セキュリティ・レポーター
のBrian Krebs氏に対して開始されました。攻撃は約3
日間続き、トラフィック量は推定で最大620Gbpsとな りました。8
2016年10月
2016年10月には、権威あるDNSプロバイダである Dynに対して、IoTデバイスの使用による多数の攻撃 が発生し、米国東海岸の各種インターネット・サービ スが機能停止しました。9
2016年11月
2016年11月、フィンランドのアパートメント・ビル の環境制御システムに対するDDoS攻撃が発生し、シ ステムがシャットダウンしたことにより、2日間にわ たり居住者が文字どおり厳寒にさらされました。10
7 www.arbornetworks.com/blog/asert/lizard-brain-lizardstresser/
8 krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/
9 krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitter-spotify-reddit/
10 thehackernews.com/2016/11/heating-system-hacked.html
ASER T
—
Mirai は、 IoT デバイスに感染 して制御するための特別な設 計となっています。さらに、
内部には大規模ボットネット を管理・構築するために必要 なコードを含んでいます。
2016年 11 月、Miraiボットネットのソース・コードが公開さ
れました。11 Mirai は、IoT デバイスに感染して制御するため の特別な設計となっており、内部には大規模ボットネットを構 築・管理するために必要なコードを含んでいます。すでに、新
たな Mirai の亜種もいくつか作成されています。そのうちの一
つが2016年11月末に使用されて、DSL CPEに内在するNTP サーバー解析の脆弱性を利用することにより、欧州の大規模 サービス・プロバイダを攻撃しました。
2016 年 10月、Arbor Networks は Mirai ボット ネットの脅威の概要をまとめました。このレポー トは以下より入手可能です。
http://jp.arbornetworks.com/iot%E3%82%92%E 7%8B%99%E3%81%86mirai%E3%83%9C%E3%
83%83%E3%83%88%E3%83%8D%E3%83%83%
E3%83%88%E3%81%A8ddos%E6%94%BB%E6
%92%83%E3%81%AE%E7%B7%A9%E5%92%8 C/
将来的には、ボットネットで使用されるIoT デバイスのほとん どがインターネットに直接アクセスするか、あるいは NAT を 介したスタティックまたはuPnP のポートフォワーディングが 可能になります。これは通常、CPEデバイスやWebカメラが 該当しますが、インターネットから直接到達できない NAT 後 方には依然として数億台ものデバイスが存在しています。現行
の Mirai ボットネットのコードは、感染対象のインターネット
接続デバイスがないかスキャンします。侵害されたデバイスが すでに NAT ゲートウェイ後方に存在するとき、あるいは最悪 の場合として NAT ゲートウェイ自体が侵害されているとき、
内側のIoT デバイスをスキャンするためのコードを適用するこ とが容易となります。
また、この問題は、ネットワーク管理を簡素化し、導入コスト を削減する可能性を持つSDN(Software Defined Networking) ソリューションに拡大するおそれがあります。SDN では、中 央コントローラーがコマンドをネットワーク対応のデバイスに 発行し、動作や行動を制御します。そうした導入に対するセ キュリティ対策を考慮しない場合、それらのインストールに よって超強力な大規模ボットネットになってしまうおそれがあ ります。
11 krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/
ASER T
ミティゲーション
—
オンライン上には数十億台の IoT デバ イ ス が す で に 存 在 し 、 そ こ に 毎 日 約 550 万台ものデバイスが加わっていま す。
すべての IoTベンダーがデバイスの強化と適切な セキュリティ対策の実施を急遽決めたとしても、
セキュリティを備えていないデバイスはすべて存 在し続けることになります。また、デバイスに よってはセキュリティ機能を導入するだけのハー ドウェア/ソフトウェア機能がないものさえありま す。
先述したように、現行の IoTデバイスの大半で使 用されるハードウェアとソフトウェアは、アジア を拠点とするごく少数のメーカーが出荷していま す。数々の問題に対するソフトウェア修正は、
2014 年度に英語バージョンのソフトウェアにつ いてのみ行われました。同じ修正の他言語版はま だリリースされていません。
AppleのHomeKitデバイスは、例外的に注目する
価値があります。このソリューションは、最初か らセキュリティを施した設計となっており、自動 ソフトウェア・アップデートを利用することに なっています。Apple の自動ソフトウェア・アッ プデートは iPhone ユーザーに極めて好評であ り、全ユーザーの60%~70%が1週間以内にアッ プグレードを行っています。
IoT デバイスのセキュリティと DDoS 攻撃に対する防御のベスト・プラク ティスを見てみると、以下のアプローチでは何度も成功が実証されていま す。
IoT または埋め込み型デバイスを所持しているか使用してい る場合
IoT デバイスを他のサービスやインターネットから隔離します。IoT 電球にインターネット・アクセスは必要でしょうか。
プリンターにインターネット・アクセスが必要かどうか明らかにしま す。インターネット上のChargenリフレクションDDoS攻撃のほぼ すべては、インターネットへの直接アクセスを備えたプリンターを使 用します。
デバイスのソフトウェアとファームウェアをアップデートします。
DVR のソフトウェアを最後にアップデートしたのはいつでしょう か。
デバイス上の不要なサービスをシャットダウンします。SSDPリフレ クションの大半はSSDPが有効になっている家庭用CPEルーターか らです。また、DNS リフレクション攻撃は往々にして、DNS フォ ワーディングが有効になっている、セキュリティに未対応の CPE デ バイスを使用しています。
セキュアな製品の組み立て証明記録を有するメーカーのデバイスを使 用し、セキュリティ・ソリューションに関するメーカーの説明責任を 担保しておいてください。
発信の帯域幅をモニタリングします。システムの動作が鈍くなってい るのはシステムの問題でしょうか。WAN ルーターのビジー状態は DDoS攻撃を開始しているからではないでしょうか。
DDoS攻撃を防御するために以下の手順を実行
01 / イングレス・フィルタリングについては最新のベスト・プラク ティスを実施します。
02 / 管理プレーン・トラフィックをデータ・プレーン・トラフィッ クから切り離します。
03 / デバイスの強化を行い、不要なサービスをシャットダウンしま す。
04 / 自分のトラフィック・パターンを理解し、通常のトラフィック の様子を把握しておきます。
05 / DDoSミティゲーションの多層ソリューションを導入します。
ASER T
結論
—
ネットワーク動作が可能な埋め込み 型デバイスや IoT デバイスを DDoS 攻撃に利用することは、新しい手法 ではありません。欠陥のある CPE を 使 用 し た 、 作 為 の な い 最 初 の DDoS 攻 撃 が 2003 年 に発 生 し 、 2010年以降は攻撃者が積極的に IoT デバイスを使用するようになってい ます。
2016年には、インターネットに接続された、
セキュリティに対応していない IoT デバイス の数が過去最高になりました。IoT の脆弱性 を利用する設計になっている IoT マルウェア とブーター/ストレッサー・サービスのリリー スによって、IoT デバイスを利用した攻撃が 新たな定番となっています。基本的に、セ キュリティに対応していない IoT デバイスの 数 は ク リ テ ィ カ ル ・ マ ス に 達 し て お り 、 DDoS 攻撃者のツールキットで選択される武 器と化しています。
IoT デバイス(またはネットワーク動作可能デバイス)は基 本的に特殊用途のコンピューターであり、これまでと同様の 手法でセキュリティ対策を実施できます。
01 / デバイス自体にセキュリティ対策を実施します。メーカーのガ イドラインやベスト・プラクティスに従ってデバイスを強化し ます。認証と許可を行い、ネットワーク管理プロトコルが適切 にデータ・プレーン・トラフィックから切り離されるようにし ます。
02 / 上記のとおりにデバイスをセキュアな状態にできない場合、デ バイスをインターネット接続デバイスやその他のデバイスから 切り離して分断します。また、すべてのデバイス間通信を制御 し、デバイスが不正な動作をできないようにします。
03 / DDoS 攻撃に対する防御のベスト・プラクティスに従います。
それらのベスト・プラクティスでは過去にうまくいったことが 実証されており、適切に実施すればうまくいくはずです。
04 / 利用中のサービス・プロバイダまたはピアリング・パートナー にアドバイスを求めます。攻撃はますます大規模化しているた め、協力が成功の鍵となります。