自動販売機で大学がハイジャックされる
2017 年 2 月 13 日 編集部記事
Network World によれば、名前は非公開のある大学で、自動販売機、スマート電球、さらには 5,000 台の IoT デバイスがハイジャックされていたことがわかりました。何やら怪しい話のように聞こえますが、大学の内部ネットワークへの攻撃は、15 分ごとにシーフード関連の一連の DNS 要求が送られていたことで発生したものであることがわかりました。
この話は、ベライゾンの 2017 年データ侵害ダイジェストシナリオのプレビュー版で紹介されており、同報告書は、同大学のネットワークがどのような方法でシーフード関連のドメインのアクセスの急増に気付き、シーフード関連のサブドメインの数が異常であると判断したのかを概説しています。ドメインネームサービス(DNS)ルックアップを実行するネームサーバーが、急増したトラフィックを処理しきれなくなり、正規の検索がドロップされることになって、インターネットの大半にアクセスできなくなりました。
ベライゾンの調査研究チームである RISK(Research, Investigations, Solutions and Knowledge)がこの問題を調査し(同大学はベライゾンの顧客だったと推測されます)、学内の自動販売機、電球、さらには数千台の IoT デバイスからシーフード関連の DNS 要求が 15 分ごとに送られていることを突き止めました。返された 4 つの IP アドレスと要求された約 100 のドメインが、最新の IoT ボットネットのインジケータリストに含まれていました。このボットネットは、弱いパスワードやデフォルトのままのパスワードを掌握することで、デバイスから別のデバイスへと拡散していました。そして、デバイスをコントロールできるようになった段階で、デバイスのパスワードを変更し、同大学をロックアウトしていたと思われます。
同大学は、パケットスニッファを使用して、感染した IoT デバイスの新しい平文パスワードを傍受し、そのパスワードをリセットすることで、デバイスを復旧することができました。この報告書は他の組織に対し、「IoT システム用に独立した別のネットワークゾーンを作成し、可能であれば他の重要なネットワークと切り離す」こと、さらには、一箇所に置く情報量を制限することを推奨しています。
詳細は、Network World の記事全文(英文)をここからお読みいただき、ご確認ください。対策のヒントが紹介されているベライゾンのレポート(英文)は、ここからお読みいただけます。IoT デバイスの潜在的なセキュリティリスクについては、ウォッチガードの CTO、Corey Nachreiner によるボットネット関連のこちらの Secplicity の記事をご参照ください。