無防備なIoT機器たち
約1年前になりますが、IoT機器を踏み台にした大規模な攻撃がありました。2016年9月から10月にかけて、IoT機器へ大量に感染した「Mirai」ボットネットによって、一斉にDDoS攻撃がDNSサービスに対して行われ、複数の企業が被害を受ける事態になりました。
そして、この攻撃が発生してから数日後、「Mirai」ボットを開発したみられる人物が、ハッカーが集うフォーラムにソースコードを公開しました。これ以降、ソースコードを利用して他のマルウェアを発生する状況となっています。
この事例ではっきりしたことは、例え小さい機器であってもコンピュータであることに変わりはなく、一連のDDoS攻撃だけではなく、ほかの攻撃も可能であることを示したと言えます。
警察庁が今年9月に発表した資料では、「Mirai」ボットからの通信と見られるその数は減少しているものの、1日/1IPアドレスあたり494.3件が観測されています。それゆえ、「Mirai」ボットもしくは亜種や改良したものが、今もどこかでIoT機器に感染したまま稼働しているということです。
最近では、「IoTセキュリティ」という言葉に触れる機会が増えてきました。先日、内閣サイバーセキュリティセンター(NISC)の「サイバーセキュリティ関係施策に関する平成30年度予算重点化方針」にも、こうしたボット撲滅を推進するための「IoTセキュリティの確保等」が取り上げられています。
「Mirai」ボットと問題点を振り返る
「Mirai」ボットの公開されたソースコードから、主にC&Cサーバーとボットの連携を作り、さらに自身の感染拡大を狙ったダウンローダ機能で、最終的には攻撃者より命令を受けて攻撃します。
このボットネットの形成に感染した機器は、ネットワークカメラやルーターが占めており、一部では海外製デジタルレコーダーなどにも及んでいたことが、警察庁の発表にもありました。
ここでのポイントは、感染拡大のところであり、その手口としてIoT機器へログインするためのアカウントとパスワードが利用された点にあります。このアカウントとパスワードは、主に工場出荷時に設定されたものがリスト(以下の図を参照)されており、実際に設置されているアカウントとパスワードの管理が脆弱なままでネットワークカメラやルーターが使われていたかを物語っています。
最近のネットワークカメラなどは、予め工場出荷時の仮アカウントとパスワードのまでは使用できないようにするなどの改善が進んでいますが、数年前から使用している機器などは、ファームウェアのアップデートとアカウント設定を再確認して、対策を進める必要があります。
監視・防犯カメラのつもりが「無防備カメラ」に変わる危険性
ネットワークカメラでもう1つ取り上げたいのは、世界中のオンライン監視カメラをクリップした「Insecam」サイトがあります。このサイトは以前から話題になっていますが、現在も日本をはじめ世界各国に設置されているオンライン監視カメラの映像が見られる状況となっています。
このサイトで懸念しているのは、個人で設置しているカメラも見られることです。例としては、自宅の玄関もあれば、個人経営のお店もあります。店舗の映像にはお客さんがそのまま映り込むケースもあります。これらのカメラに共通しているのは、「パスワードの未設定」にあります。
Insecamとしては、プライバシーを保護するために、民間が設置したものは苦情に応じ直ちに削除すると記載されていますが、実態としては改善しているようには思えません。
国内だけでも昨年末に調査した時は、約1200件登録されていましたが、現在見てみると登録数だけで1800件を超えています(登録数だけを集計した場合)。むしろ増えていることから、この存在に気づいていない方も多いのかもしれません。なお、監視カメラの「パスワード」を設定すれば、Insecamからは閲覧できなくなります。
自分達を守るために使われるはずの防犯カメラが、一般公開している無防備カメラと化しているため、先に説明したボット感染と同様にネットワークを持つIoT機器のアカウントやパスワードを設定しなければなりませんし、すでに「無防備カメラ」はMiraiボットに感染している可能性もあるでしょう。
今回二つの事例を取り上げましたが、まずは「アカウント」「パスワード」の設定を再確認していただき、第三者に利用されないよう対策を進めることを心がけてください。
著者紹介
石川 堤一 (いしかわ ていいち)
キヤノンITソリューションズ 基盤セキュリティ企画センター マルウェアラボ マネージャー シニアセキュリティリサーチャー
約20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。
現在はこれまでの経験を活かして、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動や、キヤノンITソリューションズ運営の、より安全なインターネット活用のためのセキュリティ情報を提供する「マルウェア情報局」の記事執筆をするほか、マルウェア解析サービスのマネージャーとしても活動中。