街中のクルマ数万台がボットに感染、IoTボット「Mirai」が走りながらサイバー攻撃！　仮想通貨取引所へのDDoSは利ざや稼ぎが目的か？

――IIJが見た2017年のセキュリティ動向

高橋正和

2017年11月28日 06:05

「IIJ Technical WEEK 2017」初日の11月8日の様子

　株式会社インターネットイニシアティブ（IIJ）では、イベント開催やブログ、ニュースレターなどで技術者向けに積極的に情報発信している。近年では特に、IIJmioブランドでのSIM事業についてのトークイベント「IIJmio meeting」などが人気を博している。

　そうしたジャンルごとの情報発信とは別に、2003年より毎年開催し、今年で15回目となる恒例のイベントが「IIJ Technical WEEK」だ。ITエンジニアを対象とした技術イベントとして、同社の手掛けるさまざまなジャンルを一緒に混ぜたかたちで開催することから、IIJにおける“文化祭”（IIJ広報部課長・技術広報担当の堂前清隆氏）と位置付けているイベントだという。

　11月8日～10日に開催された今年の「IIJ Technical WEEK 2017」から、セキュリティに関するセッションが集まった11月8日の模様をレポートする。

街中のクルマ数万台がボットに感染、IoTボット「Mirai」が走りながらサイバー攻撃！　仮想通貨取引所へのDDoSは利ざや稼ぎが目的か？（この記事）
“なしくずしBYOD”時代ではもう限界？　L2セグメントに頼るセキュリティ卒業のススメ（11月29日付記事）

ランサムウェア「WannaCry」はまだ収束していない、亜種が今も静かに感染活動

　IIJセキュリティ本部長の齋藤衛氏によるセッションは、1年のセキュリティ動向をまとめる講演として、毎年、IIJ Technical WEEKで恒例となっている。ISPとしてかなり大規模なネットワークを運営し、SOC（セキュリティオペレーションセンター）も設けてセキュリティ関連をウォッチしている同社ならではの報告だ。

　今回の「セキュリティ動向2017」では、マルウェアの活動、IoTボットの活動、DDoS攻撃とその対策、脆弱性対応の宿題の4分野が取り上げられた。

株式会社インターネットイニシアティブ（IIJ）セキュリティ本部長の齋藤衛氏

　今年のマルウェアの活動で大きな話題は、やはりランサムウェアの「WannaCry」だ。齋藤氏はWannaCryの概要を改めて説明。そして、一見、収まったように見えるが「実は活動は終わっていない」ことを報告した。ハニーポットで観測していると、WannaCryの亜種が活動を継続していることが分かるという。

　ただし、この亜種では、暗号化の機能は動作せず、感染を広げるのみとなっている。「WannaCryの亜種に限らず、破壊的な活動を行なったり、ワーム的な感染活動を行なったりと、純粋なランサムウェアと呼ぶには微妙な活動が今年は多い」と齋藤氏はコメントした。

　マルウェアの分野ではそのほか、ウェブ閲覧で感染するWeb ExploitKitの活動が減少してきて、代わりにSupport Scam（詐欺）などが増えており、齋藤氏は「脆弱性を利用するより人をだますほうがコストが安くなったのではないかと推測している」とコメントした。

「WannaCry」の活動は続いている

Web ExploitKitから詐欺へ主流が移る

車載器がIoTボット「Mirai」に感染、街中を走りながらインターネットにDDoS攻撃

　IoTボットでは、IoT機器に感染する「Mirai」が昨年話題になった。そのソースコードが公開されたことにより亜種が出現しており、現在も活発に活動している。さらに今年11月ごろからは「Satoru/Okiru」系ボットが活性化し、国内で10万台規模で感染しているという。

　Miraiの感染事例としては、ある企業の車載装置が感染したケースが紹介された。Miraiに感染した、万単位の台数の機器が街中を移動しながらインターネットにDDoSをかけていたということで、想像するとちょっと怖い。

　この事例は、“とあるISP”において、同社のネットワークからDDoS攻撃の通信が発生しているとの指摘があったことで発覚。調査したところ、通信元はそのISPがMVNOとして提供していたSIMカードからであり、それらSIMカードを使用してモバイルネットワークに接続していた車載器がMiraiに感染していたことが原因だった。車載器ベンダーがそれらをすべて回収してMiraiを駆除し、車載器の脆弱性を修正するといった対処をとるのは現実問題として難しかったことから、IPSのネットワーク側でひとまず、Miraiの通信をフィルタリングすることで対処したという。

　そのほか、IoTボットのニューフェースとしては「Hajime」が2016年10月から観測されており、今年に入って感染活動が活発化。ただし、今のところ感染するだけで攻撃などはしないという。

「Mirai」の亜種は現在も活発

IoTに感染するニューフェース「Hajime」

仮想通貨／FX業者へのDDoS攻撃は、価格差を生み出して利ざやを稼ぐ目的との見方も

　DDoS攻撃では、今年はDDoS恐喝やAnonymousによる攻撃などが、散発的に起きていた。その中で興味深いものとして取り上げられたのが、9月に仮想通貨やFXの業者の20社にDDoS攻撃がなされた事件だ。この件については、取引所間での価格差を人為的に生み出して利ざやを稼ぐ目的ではないかとの推測もなされているという。

　こうしたDDoS攻撃への対策として、齋藤氏は自社の「IIJ DDoSプロテクションサービス」を取り上げ、「世界中に展開している」と紹介した。

　また、脆弱性対応の宿題としては、齋藤氏が気にしている4点として、Bluetooth脆弱性の「BlueBorne」、WPAの脆弱性の「KRACK」、鍵生成のエントロピーが不足する「Infineon TechnologiesRSAライブラリ」問題、Ciscoなどネットワーク機器に影響が出るという「Intel ATOM C2000エラッタ」が紹介された。

DDoS攻撃の状況

脆弱性対応の宿題

　最後に齋藤氏は、IIJのセキュリティ体制を紹介。2016年にセキュリティ事業を強化したことや、社内横断の情報分析基盤、技術レポートやブログでの情報発信に加えて、刷新した「セキュリティオペレーションセンター」の設備などを披露した。

IIJセキュリティオペレーションセンターの内部

（協力：株式会社インターネットイニシアティブ）