ニュース
メキシコからのサイバー攻撃が8月に急増、横浜国大とBBソフトサービスが中間報告
2017年11月1日 12:58
BBソフトサービス株式会社と横浜国立大学は、IoT機器を狙った脅威の実態を把握し、安全確保のための技術開発を行う共同研究プロジェクトを6月に開始している。10月31日には同プロジェクトの中間発表会が実施され、横浜国立大学大学院環境情報研究院/先端科学高等研究院准教授の吉岡克成氏が、これまでの研究成果の報告を行った。
横浜国立大学では、「Mirai」をはじめとするIoTマルウェアや、大規模なサイバー攻撃について観測を行い、脅威の存在や攻撃の現状について研究結果を公表している。
家庭内ネットワークを模したテストベッド内での疑似攻撃による検証では、1)家庭内LANのDoS攻撃、2)マルウェアによる機器の不正操作、3)IoT機器を対象とした身代金要求のデモを実施した。
IoTマルウェア「Bashlite」の検体を使用した家庭内機器へのDoS攻撃では、ロボット掃除機/スマート照明/コーヒー機/電源プラグが正常に動作しなかった。一方、NASやプリンターに関しては影響を受けずに動作することが確認された。
マルウェアによる機器の不正操作の検証では、学習リモコンやスマート電源プラグの電源オン/オフを正規のスマートフォンアプリ以外から切り替えることができた。これは、機器を操作するための通信の認証が不十分であることが原因と考えられる。
IoT機器で身代金を要求する攻撃の検証では、ホームルーターに侵入して脅迫用のサイトを強制的に表示させる設定を施した。その結果、スマートテレビでは外部動画サイトから動画を表示する代わりに、攻撃者が用意したサイトが表示された。家庭内ネットワークの入口となるルーターが乗っ取られているため、スマートテレビ以外のデバイスから接続しても同様の状態となることが確認できた。しかし、大半のケースではルーターを再起動することで問題を解決することができたという。
「タブレットやPCなどのデバイスに不正は行われていないため、ウイルス対策ソフトを家庭ネットワーク内の各機器に入れても反応しない。ルーターが乗っ取られていることを認識していない一般ユーザーは、どの機器からも脅迫用サイトが表示されるため、恐怖を感じてお金を支払ってしまうことがあり得る」(吉岡氏)
こうした検証を通じて、「家庭内機器の多くがIoTセキュリティの脅威を想定した作りになっていないことが分かった」という。また、最近は「Telnet」の脆弱性を悪用した攻撃から特定の機器の脆弱性を狙うものにシフトしている傾向も見られたそうだ。
ハニーポットによるサイバー攻撃の観測システムでは、8月に192カ国からの攻撃を観測しており、総攻撃ホスト数は38万2876件だった。7月31日に約1.7万IPアドレス/日からの攻撃を観測していたのに対して、8月1日は約1.5倍の2.6万IPアドレス/日を記録している。1日で急増した原因として、吉岡氏はメキシコからのアクセスホスト数と攻撃ホスト数の増加を挙げた。
攻撃ホスト数の上位国ではメキシコ(7万8765件)が全体の4分の1を占めており、中国(5万7525件)、ブラジル(4万6760件)、インド(4万4424件)、ロシア(2万1571件)、トルコ(2万260件)、イラン(1万2199件)、米国(1万279件)、アルゼンチン(9196件)、ベトナム(7254件)と続く。9月にメキシコからの攻撃は3万6830件と減少するものの、依然として高い数値を出している。
観測されたホスト群の機器種別を調査したところ、7月には全く観測されなかったあるルーター製品のものと思われる特徴が確認されたそうだ。吉岡氏はメキシコで多数使用されている当該ルータ製品がサイバー攻撃により乗っ取られ、外部へ攻撃を行ったのではないかと推測する。
8月以降、ある国内AS(Autonomous System)番号において、攻撃元ホスト数が11倍に急増していることも観測された。国内の3つのAS(仮称:AS1、AS2、AS3)を比較したところ、7月の攻撃ホスト指数が4.0~7.3だったのに対して、8月は66.7に急増し、9月も53.6と高い数値を記録している。AS2においてウイルス感染機器が急激に増加、もしくは既に感染していた機器が攻撃者によって活動を開始したものと推測される。なお、攻撃ホストの応答には攻撃元の機器を特定できる情報が含まれないため、現在のところ明確な原因は不明だとしている。
同プロジェクトでは、ハニーポットによる攻撃の観測を12月まで継続し、1月に研究の発表・啓発を行っていくとしている。