IoT機器がマルウェアに感染する元凶は「Telnet」～横浜国大・吉岡克成准教授

　IoT機器を含むホームネットワーク向けのセキュリティ製品「Bitdefender Box」の製品発表会において、横浜国立大学大学院環境情報研究院／先端科学高等研究院准教授の吉岡克成氏が「IoT機器を狙ったサイバー攻撃の最新事情」のテーマで講演を行った。

　横浜国大では、マルウェアに感染したIoT機器の観測を行っている。このシステムで観測し、確認した機器は、2016年1～6月に500種類以上・60万台にも達するという。

　マルウェアに感染した機器は、ルーターやモデム、ゲートウェイ、セキュリティアプライアンスといったネットワーク機器はもちろん、VoIPゲートウェイやIP電話といった電話関連機器、駐車場の空きスポットをセンサーで監視してウェブから空きを確認できる駐車場管理システム（主に欧州）、デジタルサイネージなどで利用されるLED大型ディスプレイ、空調や照明をコントロールするビル制御システムなど、非常に多様だ。

　家庭用機器では、太陽光発電管理システムや、電力需要管理システムなども観測したという。また、CATVのSTBに加え、放送局側機器、さらに医療機器やMRIといった業務用機器の感染事例も見られた。

　こうしたデバイスが大量にマルウェアに感染する元凶は「Telnet」だ。Telnetは、リモートから機器をコントロールするためのプログラム、またはこれを可能にするプロトコルで、30年以上前の1983年に規定されている。認証を含むすべての通信を暗号化せずに平文で送信する仕様のため、セキュリティ面で問題があり、現在は危険なため推奨されていない。しかし、これらのIoT機器の多くは、組み込み型のLinuxで動作しており、Telnetが利用できるとうたわれていなくとも、実際には利用できる製品がほとんどを占めているという。

　Telnetでは、簡単なIDとパスワードで管理者権限でログインでき、機器を操作できてしまう。こうした機器にデフォルトで設定されているIDとパスワードのリストは、「Googleで検索すると簡単に入手できるので、スーパーハッカーでなくても誰でも（IoT機器に）侵入できてしまう」のが現状だ。

　横浜国大では、2つの方法で、サイバー攻撃を観測している。1つ目は、ネットワークからのパケットを待つ受動的な観測システムを用いるもの。マルウェアに感染した機器は、感染を広げるために無作為に通信を行うため、利用されていないために本来であれば通信が届かないIPアドレス＝ダークネットをシステムに設定して観測を行う。警察庁の「@Police」や、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）などでも同様のインターネット定点観測システムを運営している。

　このダークネットを用いる受動型の観測システムでは、「どういうアドレスからどれくらい攻撃が来たかが分かる」。吉岡氏がかつて所属していた独立行政法人情報通信研究機構のインシデント分析センター（NICTER）の過去10年における観測では、2014年以降にTelnetへの攻撃が急増している。OS判定によると、その9割はLinux系で、これは攻撃全体の50％程度になるという。

　しかし、こうしたダークネットによる観測システムは「何も応答をしないので、何か通信をしてもそこで終わってしまい、（送信元の）詳しいことが分からない。そこで、セキュリティが脆弱な機器が動いているように見せかけたハニーポットと呼ばれるおとりのシステムを使い、送信元がだまされて攻撃を加え、最終的にウイルス本体を送信してくる。これをサンドボックスで分析することで、深く考察できる」のだという。

　こうしたハニーポットのセンサーは、横浜国大のほか、現在は海外の大学など4カ所に設置している。海外のハニーポットに送信されたパケットは、横浜国大内で処理し、海外へと戻す。こうした仕組みにより「全世界の攻撃を観測しようとしている。現在は4カ国だが、3月中には10カ国に増やす予定で、センサーの設置を進めている」とのことだ。

　観測結果を見ると、2015年4～7月の4カ月で、Telnetへの攻撃が20万アドレスから観測システムに届いたという。この内容をハニーポットで分析すると、20万のうち15万はTelnetへのログインを試みるもので、10万は実際にマルウェアを送り込んできていた。また、CPUアーキテクチャはx86以外にも、組み込み機器で動くものばかり11種類から送信されていたという。「当時は驚いた。しかし、それは序章で、現在は1カ月に133万アドレスからの攻撃、通信が見られる状況」。特に2016年夏からは急増し、218カ国からの攻撃を観測している。特にアジアと南米が多く、ベトナム、中国、ブラジルの3カ国からの攻撃で全体の50％を占める。

　Telnetをベースとしたマルウェアは、攻撃者が保持するIDとパスワードの辞書を用いて機器に侵入し、まずは機器情報を調査し、不要なコマンドの削除などを行う。その後、C&Cサーバーからマルウェアをダウンロードし、機器をボット化する。「以前はシンプルなIDとパスワードがほとんどを占めていたが、観測を続けると、2016年ごろからこのリストが長大化した。その数カ月後から観測数が増えていった」という。

　こうしてボット化したIoT機器により、DNSサーバーなどに対するサービス妨害（DDoS）攻撃がすでに起きている。2016年10月には、DNSサービスを提供する米Dynに対して大規模なDDoS攻撃が加えられ、Amazon.com、Twitter、Netflixなどのサイトで大規模な障害が発生している。

　こうしたボットは、DDoS攻撃へ参加するボットをさらに増殖させるべく、他の機器を探索して感染を拡大する。横浜国大では、Arbor Networksと共同で、DDos攻撃への対策について研究を行っているが、2016年8月のリオオリンピック開催時期の前後に大規模な攻撃が頻発したという。「2015年までの最大は400Gbpsだったが、それを超える規模の攻撃がこの時期に頻発した。数カ月前にはボットネットが増えており、より多く乗っ取って攻撃の拡大を狙っていたのだろう」との見方を示した。

　吉岡氏は「家庭には10年前にはIoT機器はなかったが、今後はホームネットワークへも影響が出てくる可能性がある」とし、容易に想像できる攻撃のシナリオとして、「家庭の入り口となるルーターが感染しているケースでは、当然そこから内部の機器を狙うのことが技術的に可能だ。これまでにも、ローカルネットワークを狙うウイルスを観測している」とした。また、ルーターがマルウェアに感染したケースでは、「PCやスマホを偽サイトに誘導し、IDとパスワードを搾取するフィッシングなどの可能性も高い」とした。

　さらに、インターネットテレビなどの機器機能を停止させ、復旧のために金銭などを要求してして脅迫するランサムウェアも考えられるという。このほか、ウェブカメラを乗っ取って撮影するプライバシー侵害の可能性も挙げた。

　さらに、ハニーポットでは、マルウェアに感染したIoT機器のウェブ管理画面やTelnetログイン画面のウェルカムメッセージなどから、観測された機器をある程度判定できるという。これによると、機器はDVR、ルーター、カメラ、STBなどが多く見られ、その種類は60以上に及んだ。国内における感染機器の台数は、海外と比べると少なく、「1日あたりだと、かつては10程度だったが、2016年には多い日は100台程度になり、増加傾向にある」とのことだ。

　こうした分析から吉岡氏は、「大量のIoT機器がマルウェアに感染していることは明らかで、世界では数も種類も増加している。国内でも増えており、ミシガン大学の調査でも、今後さらに増えることを示唆している」とした。

　吉岡氏は、こうしたTelnet以外のIoT機器におけるセキュリティ侵害事案として、監視カメラによるのぞき見を挙げた。「ロシアには、『Insecam』という監視カメラのまとめサイトがあり、公開されたカメラの台数では日本は第3位になっている」という。横浜国大のサーバー室に「おとりシステムのカメラ版」となる監視カメラを設置して調査を行ったところ、5日目でドイツからアクセスがあり、その後カメラに映ったIDとパスワードでのログインが試みられたという。このおとりカメラはその後Insecamに掲載され、「アクセスは4000件に達し、そのほとんどが日本からだった」とのことだ。

　「IoTアクセス制御の不備を助長しているのはまとめサイト。個人レベルでカメラを探索する技術はないユーザーでも、監視カメラの映像を盗み見られる。こういう迷惑な（ウェブサイトや）システムが増えている」とし、IoTを探索できる検索エンジンや、簡単にIoT機器や脆弱なサービスを発見できてしまうミシガン大学の「Censys」、中国の大学・研究機関の提供しているウェブサイトなどを挙げた。

　吉岡氏は「現在はまだ（IoT機器を）乗っ取って何をするかがこなれていない。DDoS攻撃から今後どうなるか非常に懸念している。これまでに機器を壊すウイルスなども観測しており、さまざまな脅威が今後は出てくると考えている。そのための対策技術や製品は限られているが、今後必ず必要になる」とした。