シマンテック、IoT機器をDDoSの踏み台として悪用するマルウェアの拡大を警告

　株式会社シマンテックは26日、IoT機器のセキュリティの不十分さが悪用され、マルウェアによってDDoS攻撃の踏み台にされているとの調査結果を発表した。

　IoT機器についてシマンテックは公式ブログで「電源を接続して基本設定を終えればそのまま放置できるように作られている」とし、脆弱性に対するファームウェア更新がない製品がある一方で、更新を忘れることも多い上、寿命まで買い換えもされなず、デバイスへの侵害や感染が見過ごされがちで、攻撃者を寄せつける原因になっていると指摘。ウェブサーバー、ルーター、モデム、NAS、CCTV（閉回路テレビ）システム、ICS（産業用制御）システムなどを標的候補のデバイスとして挙げている。

　IoTを標的にするマルウェアの一般的な攻撃手法は、開いているTelnetポートまたはSSHポートを使用するIPアドレスをランダムにスキャンし、デフォルトに設定されていたり、よく使われているユーザー名（root、piなど）とパスワード（admin、raspberryなど）を使って総当たりを試みるというもの。IoTデバイスの脆弱性を悪用するマルウェアは限られているという。

　こうしたIoT機器への攻撃は2015年に急増し、その多くは活動を継続している。シマンテックでサンプルを収集して解析した結果、2016年の攻撃元IPアドレスは中国（34％）、米国（28％）、ロシア（9％）の順。マルウェアは「Linux.Kaiten.B」と「Linux.Lightaidra」が多く見つかっているという。

　IoTデバイスを標的にするマルウェアは、x86、ARM、MIPS、MIPSELといった一般的なプラットフォームはもちろん、PowerPC、SuperH、SPARC の各アーキテクチャに対応する亜種も作成されている。これらは、wgetまたはtftpコマンドを使ってシェルスクリプト（.sh）をダウンロードし、これにより複数アーキテクチャのボットファイルをランダムにダウンロードする。そして動作が成功するまで実行を試みていく。一部には、プラットフォームを調べた上で正しいバイナリだけをダウンロードするモジュールを備えたマルウェアもある。

　ボットファイルが実行できた場合には、IRCチャネルを介してC&Cサーバーへの接続を確立し、リモートのボットマスターから送られるコマンドを待つ。C&Cサーバーへのトラフィックを暗号化する機能を持つマルウェアもあるという。

　こうしたマルウェアには、IoTデバイスの限られたシステムリソースを活用するため、ほかのマルウェア亜種に属するプロセスを停止する機能が組み込まれている。また、特定の外部アクセスのみを許可するようにiptablesルールを変更する手口も見られるという。

　シマンテックでは、デバイスの処理能力向上に伴って、今後は暗号通貨のマイニング、情報の盗取、ネットワーク探索などの手口が増えていくとしている。

　こうしたIoTマルウェアへの対策として、デバイスの特徴やセキュリティ機能を確認した上、デフォルトのログイン情報を変更することや、無線LAN使用時にはWPA暗号化を利用し、可能であれば有線LANを用いることを推奨している。また、リモートアクセスなどの不要な機能やサービスなどの無効化、Telnetの代わりに可能な限りSSHを利用する、ファームウェア更新の定期的チェックと実行などを対策方法として挙げている。