昨今、「attack(攻撃)」の用例として、「企業や組織のサービス停止を企てる行動」を指すことが多くなりました。DDoS攻撃が頻繁かつ大量に実行され、著名な企業や組織に深刻な被害を生み出してきたことがきっかけと思われます。これに伴う数多くの報道を目にしたことにより、大半の人々は企業や組織に対するDDoS攻撃を「attack」と呼ぶようになりました。

しかしDDoS攻撃以外にも、スマート家電をサイバー攻撃に悪用する「thingbot」による脅威が拡大しています。今回は、thingbotについて見ていきましょう。

あらゆるアナリストや専門家が、ネットワークに接続される「モノ(IoT機器)」の数が指数関数的に増加すると予測しています。消費者向けの製品への攻撃はセンセーショナルに報道されるため目立っていますが、実際には企業や組織も膨大な数のIoT機器を導入し、それらに対する攻撃が拡大しています。例えば、IoT機器である電光式の道路標識や、それらがどれほどの頻度で「ハッキング」されているかを想像すれば、「モノ」がどれほど増えているかを認識できるでしょう。

ハッキングされた電光式の道路標識

最近の調査「The Internet of Things (IoT): A New Era of Third-Party Risk」によれば、家庭ではなく企業や組織が所有する機器の平均台数は、今後2年間で倍増すると言われています。また、これらの機器すべての設置場所を把握している企業や組織は28%にすぎないという結果も出ています。つまり、大多数の人々は、職場にある機器やインターネットに接続された「モノ」のうち、その一部しか把握していません。SANS Instituteが2016年に金融機関を対象として行った調査でも同様の結果が得られ、IoTを含めて機器をすべて把握しているという回答は40%未満、少なくとも一部は把握していると回答したのは約半数ほどでした。

F5 Labsが行った調査では、このような機器を対象とする攻撃が前年比1373%という高いスピードで増加していることが判明しており、膨大な数のthingbotに対してセキュリティを確保するための取り組みの見直しが迫られています。これについては、Arxan/IBMによる調査において、「攻撃防止策を一切講じていないことを認めた回答者の割合は44%に達した。これらのアプリケーションを通じた侵入に対しては確かに憂慮されており、58%はIoT、53%はモバイルをその侵入経路と考えているが、しかしこれらの企業はそれに対して何もしていない」と記載されています。

意外に思われるかもしれませんが、一連の攻撃の最初のステップである「ボット」攻撃を成功させないことは対処の良き第一歩となり得ます。一般的に言えば、SSHとtelnetを遮断して管理プレーンを強化し、次にすべてのWebインタフェースについてセキュリティを確保するといった対応になるでしょう。

これは機器に侵入するための主な手法が、現在においても「デフォルトのパスワードを使ってコマンドラインへのアクセスを得る」、あるいは「脆弱なWebインタフェースを悪用すること」であるからです。このことがtelnetスキャンの増加につながっています。攻撃者と侵入された機器は他の機器をスキャンし、既知のデフォルトパスワードを使ってアクセスを試み、次いでその機器にも感染することによってそれを「Bot化」します。

1373%というスピードでIoT機器への攻撃が増加している

外向きのトラフィックに注意することも重要です。これは侵入されてthingbotの一員となり、次いで企業や組織のネットワーク外にある(あるいは内部にある)機器への攻撃を試みる機器がどれかを明らかにできるためです。「新たに導入された」機器が過剰なトラフィックや接続の試みなど異常な挙動を示している場合、すでにネットワークへの侵入が発生し、対処が求められている可能性があります。

冒頭に挙げた「The Internet of Things (IoT): A New Era of Third-Party Risk」の調査結果によれば、94%の回答者はIoTに対する攻撃への対処を従来のネットワークファイアウォールに依存しています。しかし、このような攻撃の多くは、実際には自社ネットワーク内のすでに侵入された機器から、またはネットワークファイアウォールではセキュリティを十分に確保できないWebインタフェースを経由して行われている可能性があります。また、これらの機器がどこにあるかを把握していない人々の割合を考えれば、ファイアウォールがターゲット先のIPベースでアクセスをブロックしているとは考えにくく、さらに、攻撃者は攻撃を容易に変化・分散させられるため、ソースIPに基づいたアクセスのブロックはあまり効果的ではありません。

したがって、攻撃者にとって容易な侵入ルートとなり得る、インタフェース内のWebに基づく一般的な脆弱性を悪用しようとする試みは、WAFを活用した管理インタフェースと、ユーザーが直接利用するアプリケーションの保護によって対応するべきです。マルウェアの侵入を可能にする脆弱性であれ、あるいは単にコマンドラインへのアクセスを可能にする方法であれ、管理インタフェースへのWeb経由の攻撃は、成長するthingbotへと機器をBot化する最速の手段となり得ます。

また、ペイロードの検査が必要とされる場合のある、MQTTやCoAPなどのIoTプロトコルを使ったBot化への対策も検討しなければなりません。今日の攻撃の大半は、機器の管理に従来から使用されてきた(telnetやSSHなどの)プロトコルを悪用するものですが、MQTTを経由した機器への直接的な攻撃もすでに発見されています。このためOWASPではすでに、Webセキュリティを推進したのと同様に、IoTのセキュリティ確保を支援するプロジェクトを開始しています。侵入につながる可能性のあるネイティブプロトコル悪用から機器を守るための手段として、IoTゲートウェイを検討してみてください。

IoT機器のセキュリティ確保手段を以下に簡略にまとめています。

・デフォルトのパスワードを変更する(予防)
・telnet / SSHによるアクセスを遮断する(予防)
・Webインタフェースにセキュリティを設定する(予防)
・IoTゲートウェイを導入する(予防)
・異常なネットワーク内トラフィックを監視する(検出)
・新たに外向けトラフィックを開始した機器を監視する(検出)

現時点では、IoT機器への攻撃は避けられないように思えます。インターネット経由でアクセスできる膨大な機器は、セキュリティへの関心の欠落が知られていることもあり、攻撃者にとっては格好の標的です。ネットワーク内にある機器が問題の一翼を担うことは防がなければならず、そのために攻撃が被害を及ぼす前に検出し、防止しなければなりません。

万が一、自社の機器からDDoS攻撃を仕掛けられたとすれば、とても大変なことになります。ぜひ対策を怠らず被害を最小限に抑えましょう。

参考リンク

・The Internet of Things (IoT): A New Era of Third-Party Risk
・SANS Institute InfoSec Reading Room
・THE HUNT FOR IOT: THE NETWORKS BUILDING DEATH STAR-SIZED BOTNETS
・SPEED OVER SECURITY STILL PREVALENT IN SPITE OF SUBSTANTIAL RISK FOR IOT APPS
著者プロフィール

伊藤 悠紀夫(いとう ゆきお)
F5ネットワークスジャパン
セールスエンジニアリング本部
プリセールスコンサルタント

UNIXサーバ、ストレージ、シン・クライアントといったインフラエンジニアを経て、F5ネットワークスジャパンへ2012年に入社。
現在はセキュリティ・クラウドをキーワードにイベント講演やハンズオンラボを行い、F5ソリューションの啓蒙活動に奮闘中。
最近はOpenStackやIoTといったキーワードを中心に連携ソリューションを模索している。