ASERT

ASERT スペシャル・レポート

—

IoT ボットネット の年

2016 年 度 に 大 々 的 に 報 道 さ れ た 多 数 の DDoS 攻 撃 は 、 IoT デ バ イ ス を 利 用 し て Web サイトやサービスを攻撃していまし た。そうした攻撃には、 8 月にブラジルで開 催された国際スポーツ大会に関係する組織 を標的とした 540Gbps の持続的な攻撃、 9 月のセキュリティ・ジャーナリスト Brian Krebs 氏に対する最大 620Gbps の攻撃、 11 月に注目を集めた権威ある DNS プロバイダ Dyn に対する DDoS 攻撃が含まれます。す べ て が 極 め て 威 力 が あ り 執 拗 な も の で し た。それらの攻撃は、 IoT デバイスと通常の 汎用コンピューター（ PC ）で混成された ボ ッ ト ネ ッ ト を 利 用 し て 実 行 さ れ て い ま す。

Arbor Security Engineering & Response Team

（ASERT）は、フォーチュン誌が選ぶトップ 25 のコンピューター緊急対応チーム（CERT）の出 身者から元・司法機関、脅威ミティゲーション・

ベンダー、有名なマルウェア研究組織の出身者な ど、幅広く専門家を擁しています。ASERTは、

情報の要約、セキュリティ・コンテンツの配信、

WISRのような特別な調査を介して、数百の国際 CERTおよび数千のネットワーク運用者と運用面 での実用的な情報を共有しています。

本 レ ポ ー ト へ の 寄 稿 に つ い て 、Steinthor Bjarnason氏には深く感謝の意を表します。

540Gbps

ブラジルでの国際スポーツ・イベントに対する持続攻撃

620Gbps

セキュリティ・ジャーナリストBrian Krebs氏を狙った ピーク攻撃サイズ

ASER T

IoT とは

—

ウ ィ キ ペ デ ィ ア に よ る と 、IoT

（Internet of Things：モノのイン ターネット）とは、「物理的デバイ ス、車両、建築物、センサーなどの インターネット動作、およびそれら のデータ収集・交換を可能にする ネットワーク接続性」と定義されて います。¹

デバイスのネットワーク接続は新しいもので はありません。1991 年、ケンブリッジ大学 の研究者たちは、IPで動作可能なWebカメ ラを使用し、古いコンピューター研究室にあ るコーヒーマシンのコーヒー残量をモニタリ ングしました。²

それ以降、インターネット接続デバイスの数 はほぼ飛躍的に増加し、すでに 2008 年当時 にインターネットに接続していた人の数を上 回っています。さまざまな業界の分析による と、インターネットに接続したIoTデバイス の数は 2016 年時点で約 60 億台と推定さ れ、2020年までには少なくとも 200億台と なる見込みです。

IoT デバイス（埋め込み型デバイス）とは、

本質的に CPU、メモリー、ネットワーク・

インターフェースを備えたコンピューターの ことです。各IoTデバイスは、特定の役割や タスクに専用のものです。

以下が例として挙げられます。

01 / Webカメラ

Webカメラとは、カメラと高速ネットワーク・イン ターフェースを備えたコンピューターです。

02 / 無線アクセス・ポイント

無線アクセス・ポイントとは、Wi-Fi無線機を内蔵し たコンピューターです。

03 / 電球

インターネットで動作可能な電球とは、低電力無線 機とライトの入/切を行うリレーを搭載した小型コン ピューターです。

04 / CPEデバイス

CPEデバイスとは、多数のネットワーク・インター フェースを備えたコンピューターであり、往々にし て光ファイバー/DSLとイーサネットの間で変換を行 います。多くの場合、Wi-Fi無線機を内蔵しているた め、無線アクセス・ポイントとして動作させること ができます。

05 / スマートテレビ

スマートテレビとは、大型ディスプレイと複数のメ ディア・インターフェースを備えたコンピューター です。

IoT デバイスと汎用コンピューターとの主 な違いは、オペレーティングシステムとの 直接のインタラクションがないこと、ソフ トウェアのアップデートは通常行われない こと、年中無休でのオンライン動作が可能 なことが挙げられます。

1 en.wikipedia.org/wiki/Internet_of_things

2 en.wikipedia.org/wiki/Trojan_Room_coffee_pot

ASER T

IoT セキュリティ

—

IoT デバイスがこれほど多様に導入されている理由 は、それらを使用することで、日常生活において利 用するほぼすべてのテクノロジーの制御、モニタリ ング、管理を行うためです。

標準的な IoT デバイスは機能が限定されますが、外部ソリュー ションとインタラクション（および外部ソリューションからの制 御とモニタリング）を行う必要があります。導入コストを最小化 するために、IoT デバイスでは簡単なインストールと実装を行う ための意図的な設計が往々にして施されます。残念ながら、この ことによってセキュリティ機能が限定されたデバイスとなる原 因、あるいは極端な場合、セキュリティ機能が一切ないデバイス の原因になることがあります。

一度侵害されると、IoT デバイスは中間者攻撃の仲介役とな る潜在能力を備えます。言い換えると、このデバイスを通過 するセッションおよびデータの傍受やハイジャックが可能に なるということになります。

しかしながら、さらに大きな問題は、IoT デバイスのソフト ウェアのアップグレードやパッチ修正がめったにないことで す。ソフトウェアのアップデートが利用可能になっても、

ユーザーは通常、自分で新ソフトウェアをデバイスにインス トールするために必要なスキルを備えていません。さらに は、ソフトウェアが自動アップデート機能の類いを備えてい ることはまれです。極端な場合には、メーカーがデバイスに ソフトウェア・アップグレード機能を搭載していないため、

パッチ修正未実施の脆弱なデバイスが、インターネット上に 何百万台も接続される結果になっています。

2009～2010年には、Stuxnet ワームの使用によって、イラン

の核施設でシーメンス製遠心分離機コントローラーが攻撃さ れ、その際にはマルチステージかつクロスプラットフォーム の脆弱性が利用されました。そうした脆弱性により、ワーム

がWindowsシステムと遠心分離機コントローラー間の全通信

を傍受し、ハードコードされたデータベース・パスワードを 使用し、監視制御システム（SCADA）のデータベースにアク セスできるようになりました。³

ハードコードされたセキュア・パスワードの使用 などの行為が深刻なセキュリティ問題を招く可能 性があると指摘するセキュリティ研究者の数は、

長年にわたり増加しています。

2016 年には、それらの研究者の予測すべてが現 実のものとなりました。

これは以下を意味する可能性があります。

01 / ハードコードされたユーザー名お よびパスワード

02 / 不要なサービスがデフォルトで有

効（Chargen、SSDP、DNS フォ

ワーダーなど）

03 / 保 護 さ れ て い な い マ ネ ー ジ メ ン ト・サービス（Web、SNMP、

TR-069など）

現行の IoT デバイスの大半で使用されるハードウェアとソフト ウェアは、アジアを拠点とするごく少数の製造業者が出荷してい ます。2014 年度には、ある大手メーカーが上記の問題の一部を 解決した新しいソフトウェアをリリースしました。しかしなが ら、それらの修正は英語バージョンのソフトウェア用にのみ作成 されていました。同じ修正の他言語版はまだリリースされていま せん。英語バージョン以外の同ソフトウェアを共有する国々から 多数のIoT攻撃があるのもこれが原因です。

3 en.wikipedia.org/wiki/SCADA

ASER T

IoT ボットネットの増加

—

最初のボットが作成されたのは 1993 年のことです。

Robey Pointer 氏の作ったインターネット・リレー・

チャット（IRC）ボットは「eggbot」と呼ばれ、乗っ 取り行為に対して IRCチャンネルを管理・保護するた めに使用されました。⁴

eggbotは、複数ボットがデータを共有し、IRC チャンネルに対する

分散型サービス拒否攻撃を防御する際に協調的に行動できるという コードに特徴がありました。そうした攻撃によって「DDoS」という 用語が最初に使用され、ここにおいて、IRC チャンネルからユー ザーを強制排除するために、IRDC、DCC、CTCPフラッディングが 使用されました。また、それらはアプリケーション層 DDoS 攻撃が 最初に記録された事例にもなりました。当時のソフトウェアは通 常、デジタル著作権管理（DRM）を使用することで、盗用に対する 保護が施されており、その DRM プロテクトを破るために使用する ソフトウェアを共有するために IRC が利用されていました。これが 同時に、クラッキングされた（不正利用された）ソフトウェアを意 味する用語「warez」や、著作権保護を破った最初のクラッキングを 意味する用語「ゼロデイ」が生まれました。

2003年度には、IoT デバイスの使用による作為のない最初の DDoS

攻撃が、Netgear DSL/ケーブル・モデムの欠陥によって発生しまし

た。⁵ このデバイスはウィスコンシン大学のNTPサーバーを使用す るためにハードコードされたものでした。導入されるデバイスの増 加に伴い（Netgearは70万7,147台のデバイスにこの欠陥があった と推定）、大学を宛先とした NTP クライアントのトラフィックが、

考え得るあらゆる限度を超えて最大 150Mb/250Kpps まで増加しま した。ACL を使用して攻撃のミティゲーションが行われ、Netgear は問題修正用パッチを発行しました。しかしながら、すべてのデバ イス所有者への配信は不可能だった上、顧客がデバイスのソフト ウェア・アップデートを行わなかった場合もあったため、あとはデ バイスが製品寿命を迎えて最終的にオフラインとなることを期待し て攻撃を乗り切りました。振り返ってみると、インターネット史上 最長かつ最大の DDoS 攻撃だった可能性があり、最後のデバイスが 処分されるまでこの攻撃が消滅することはありません。

2013 年度ないしは 2014年度まで、ボットネットは主にマル ウェアの類いに感染した汎用コンピューター（PC）とサー バーで構成されていました。これにより、ボットの運用者は ボットネットを利用し、攻撃を遂行したり、スパムを送信した り、他の不正目的を満たしたりできました。PC は用途が広 く、良質な保護機能に欠け、適度な性能があるために、格好の 標的となりました。しかしながら、PC が常時動作のファイア ウォール、アンチウイルス・ソフトウェア、自動アップデート を使用し始めると、すべてが変わってしまい、ゼロデイの脆弱 性を利用しない限り、PC を感染させることは次第に困難とな りました。

2013 年度下半期まで、ほとんどのサイバー犯罪者は基本的な トラフィック・フラッディングを利用し、DDoS 攻撃を開始し ていました。より高度な攻撃も確認されてはいましたが、それ らの開始に必要なスキルを備えた攻撃者はごくわずかでした。

最初のブーター/ストレッサー・サービスが出現すると、テク ノロジーに疎い攻撃者でも、IP アドレスの入力とボタンのク リックだけで、先進の攻撃を利用できるようになりました。こ れは基本的に先進攻撃の武器化であり、一般人でもそれらを使 用可能になりました。その例として、現代の自動車が挙げられ ます。たいていの々には車の運転技術がありますが、自動車の 組み立てに必要なスキルと専門知識を持つ人はわずかです。

IoTデバイスを使用した初のDDoS攻撃は主要メディアの注目 を集めました。これは 2013年度のクリスマス頃に発生し、著 名なゲームの発表を妨げるために使用されました。この攻撃は

LizardStresserボットネット由来のものであり、主に Web カ

メラとCPEルーターで構成されていました。

2012年、無名の研究者が

「INTERNET CENSUS OF 2012」と いうレポートを発表しました。⁶

本レポートで使用されたデータは、デフォルトの 資格情報を利用し、世界中の推定 42 万台の CPE デバイスをハッキングして集められたものです。

4 en.wikipedia.org/wiki/Eggdrop

5 pages.cs.wisc.edu/~plonka/netgear-sntp/

6 en.wikipedia.org/wiki/Carna_botnet