イベントレポート

Internet Week 2017

IoT機器のマルウェア感染、国内で1日8000台を観測、一番の狙われどころはtelnet

カメラを覗き見されてみる実験の結果が想像通りすぎ!? DDoS攻撃で最大3.5Tbpsとの試算も

 インターネットの技術研究・開発や構築・運用などに携わる人々がリアルで集い、最新情報を共有・議論するイベント「Internet Week 2017」が、11月28日から12月1日まで開催された。その中から、いくつかのセッションの模様をお伝えする。

 11月29日に開催されたセッション「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」では、PCやスマートフォン以外でインターネットに接続する“IoT機器”のセキュリティ問題について発表がなされた。

 IoTセキュリティが問題なる前から研究していた横浜国立大学の吉岡克成氏(大学院環境情報研究院/先端科学高等研究院准教授)の講演「繋がるデバイスの現在~IoT機器の脆弱性とサイバー攻撃の実態~」では、統計などにまとめる前の生の観測結果がいろいろ報告された。

吉岡克成氏(横浜国立大学大学院環境情報研究院/先端科学高等研究院准教授)

半年間でIoT機器60万台へのマルウェア感染を観測

 吉岡氏は冒頭で、2016年1月~6月の横浜国大での観測データとして、マルウェアに感染したIoT機器が約60万台あると報告した。感染した機器はネットワークカメラが多いが、500種類以上の機器があり、中には太陽光発電管理システムや電力需要監視システム、医療機器などもあるという。

 その一番の狙われどころは、グローバルからアクセスできるtelnetで、しかもデフォルトのパスワードのままであることから簡単に乗っ取られてしまうという。

マルウェアに感染したIoT機器が約60万台
グローバルからアクセスできるtelnetが狙われる

IoT機器へのマルウェア感染が増加、国内で1日8000台を観測する日も

 こうした攻撃を観測する技術を、吉岡氏は受動型と能動型に分けて紹介した。

 受動型の観測技術としては、まずダークネット(使われていないIPアドレス帯)への無作為攻撃の観測。国立研究開発法人情報通信研究機構(NICT)の観測結果によると、ダークネットへの攻撃が2014年から急増しており、約半数がtelnetだという。

 もう1つがハニーポットによる観測。横浜国大では、バックエンドは国内だがセンサーを各国に置いて、捕捉して15分で自動的に解析する仕組みを作った。2015年4月~7月の観測結果としては、20万IPアドレスからアクセスがあったうち、15万が不正アクセスで、10万がマルウェアを送り込むものだったという。

 なお、このとき、ARMなどIntel以外のCPUアーキテクチャのマルウェアを捕捉し、傾向が変わってきたと思ったら、2016年後半にIoTボット「Mirai」が爆発的に流行した。このときは、218カ国からの攻撃を観測し、特にアジアと南米が多かったという。

ダークネットへの無作為攻撃の観測。2014年から急増
横浜国大のハニーポット
ハニーポットでの観測結果
「Mirai」流行の観測

 一方の能動型は、ハニーポットやダークネットにアクセスがあったときに、攻撃元のウェブやtelnetにアクセスしてみるという観察だ。その中で機器の種類を特定できるのが10%未満で、その中ではネットワークカメラやルーターが多いが、ロングテール状にいろいろな機器が観測されるというのが、冒頭の感染機器の例だ。

 日本では、2016年5月から感染機器が増加傾向にあり、Miraiが感染したときでも1日100台ぐらいだったが、今は1日8000台まで観測数が増加しているとのことで、「アジアや南米だけの対岸の火事ではない」と吉岡氏はコメントした。

 ここで吉岡氏はミシガン大学の「Censys」というデータベースを紹介した。世界中の機器をスキャンした結果を蓄積してウェブから検索できるシステムで、telnetを検索すると380万件を超えるヒットがあるという。

ハニーポットで観測された攻撃元の種類
国内でも感染が観測される数が1日8000件まで増加
ミシガン大学の「Censys」データベース

IoT機器からの攻撃が巨大化、理論上は最大3.5Tbpsにも

 続いて吉岡氏は、「Miraiのその先」として今後の傾向を解説した。

 1つめは「侵入方法の多様化」。すでに起きている傾向としては、telnet攻撃に利用されるIDとパスワードの組み合わせの増加や、ほかのポートやサービスへの攻撃があるという。

 そのほか、ネットワークカメラの覗き見の事例も紹介された。大学のサーバー室におとりカメラを設置し、わざとIDとパスワードっぽいメモが映るようにしたところ、どこにも公開していないのに5日ぐらいしたらカメラにアクセスがあり、映したIDとパスワードによるアクセスも検知したという。

 さらにこれが、認証のかかっていないネットワークカメラをまとめているサイト「Insecam」に載ったところ、アクセスが4000倍になった(日本からのアクセスが85%)とのことで、「Insecamが覗き見を助長している」と吉岡氏はコメントした。

 最近ニュースで放映されたNHKとの共同調査では、女性の部屋に見えるセットに、ネットワーク越しに操作できるカメラを設置したところ、Insecamに載らなくとも長時間のアクセスがあり、操作もしていたという。

攻撃に利用されるIDとパスワードの組み合わせの増加
攻撃対象のサービスやポートの増加
サーバー室におとりカメラを設置
おとりカメラの結果
NHKとの共同調査。女性の部屋に見えるセットにカメラを設置
NHKとの共同調査の結果。長時間の覗き見を観測

 2つめの傾向は「攻撃規模の巨大化」だ。リオ五輪のときには500Gbps規模のDDoSが頻発し、Arbor NetworksではこれをIoT機器によるものだと言っている。横浜国大のハニーポットの結果をArbor Networksのデータと照合したところ、実際に関連が深いことが分かったという。

 吉岡氏は、DDoSの規模の理論的上限値を見積もった計算も紹介した。3000円ぐらいの機器でも100Mbps程度のトラフィックが出せることを調べ、1日で200~300万台が観測されることから、「掛けると、最大3.5Tbpsまで理論上では考えられる」と結論付けた。

リオ五輪のときには500Gbps規模のDDoSが頻発
理論的上限値の計算:3000円ぐらいの機器でも100Mbps程度のトラフィックが出せる
理論的上限値の計算:1日で200~300万台が観測
理論的上限値の計算:最大3.5Tbps

 3つめの傾向は「目的の多様化」だ。観測事例としては、広告の不正クリックへの利用や、有料放送のアカウントの窃取、ファイルをランダム値に書き換えて起動できなくする攻撃などを吉岡氏は報告した。

 これについては、「横浜国立大学・BBSS IoTサイバーセキュリティ共同研究プロジェクト」によるコネクテッドホームの研究を吉岡氏は紹介。家庭内に20種類ほどの機器を接続し、外部からどのような攻撃ができるかを研究しているという。可能性ベースとして、機器の不正操作や、IoT機器へのランサム攻撃の実験が紹介された。

広告の不正クリックへの利用
有料放送のアカウントの窃取
機器を起動できなくする攻撃
コネクテッドホームの研究:機器の不正操作の可能性
スマートプラグを不正操作する実験
IoT機器へのランサム攻撃の実験

 4つめの傾向は「攻撃インフラの強靱化」だ。マルウェアのC&Cサーバーやダウンロードサーバーなどに、感染先のIoT機器を利用するケースがあるという。

マルウェアのC&Cサーバーやダウンロードサーバーの観測結果
感染機器とC&Cサーバーが同一のケースがある

脆弱性のあるIoTシステムを発見→SIerの横つながりでの修正を期待

 続いて吉岡氏は、「重要IoTシステムのアクセス制御不備問題」について語った。もともと、地方出張のときにシャトルバスで提供されているWi-Fi接続でルーターの管理画面が見え、それがインターネット側からも見え、さらにデフォルトのIDとパスワードでログインできてしまったことから、社会の重要インフラの設備を調査したという。

 例えば、水道管理システムの事例では、認証なしにアクセスでき、浄水場名とポンプ名の一覧が表示された上、オン/オフボタンも表示された。同様に、水門の管理システムでも問題が発見された。なお、これらはすでに報告して修正されているとのことだ。

 現在では総務省の施策として、一般社団法人ICT-ISACと横浜国大で、そうした機器を見つけようと調査していることも語られた。特に、SIerを確認して報告することで、そのSIerが扱っている同様なシステムも横つながりで直ることを期待しているという。

水道管理システムが認証なしにアクセスされた事例。オン/オフボタンも表示された
水門の管理システムの事例
総務省の施策として重要IoT機器を調査

IoT機器には、telnetという共通のセキュリティ問題、作り手は認識を

 最後に吉岡氏は対策について語った。

 まず、さまざまなIoT機器にtelnetという共通のセキュリティ問題があることについては、作り手に認識してもらうこととともに、情報収集分析機構による観測と情報提供について語った。

 また、わざと感染させて駆除した実験については、多くは電源断や再起動で消滅したことを報告。ただし、機種によっては永続感染の可能性もあることや、ファームウェア更新を乗っ取ることも機構上は可能であることが語られた。また、駆除後の再感染時間の観測では、最短で38秒で、最長でも73分で再感染したことが報告された。

情報収集分析機構による観測と情報提供
駆除実験:多くは電源断や再起動で消滅
駆除実験:永続完成の可能性も
再感染の実験。最短で38秒で再感染