2018/02/20

進化する IoT ボットネット – 一体どこまで大規模化するのか

IoT インターネット
2018 年 2 月 20 日 Marc Laliberte 著

セキュリティ業界の多く専門家が、この問題を自問しています。IoT ボットネットは、マルウェアによって乗っ取られた安全性の低い IoT デバイス(ウェブカメラやビデオレコーダなど)で構成されるネットワークであり、一人の攻撃者がそれを制御します。2016 年に大きな注目を集めた Mirai ボットネットでは、インターネットホスティングプロバイダである OVH や KrebsOnSecurity に対する記録的な DDoS 攻撃によって、米国の東海岸全域でインターネット利用が大混乱しました。Mirai の規模については研究者によって意見が異なり、デバイスの数で 80 万台から 250 万台とかなりの幅があります。

ところが、Mirai は単なる序章に過ぎませんでした。IoT ボットネットが攻撃者にとって安価で容易な方法であるのは、ほとんどの IoT デバイスでセキュリティ対策が不十分あるいは皆無であるためです。それを裏付けるかのように、Spamhaus の推定によれば、2016 年には 393 だったボットネットのコマンド & コントロール(C2C)サーバが、2017 年には 943 へと急増しています。ガートナーが、2020 年までに 204 億台の IoT デバイスが使われるようになると予測していることを考慮すると、それを悪用しようとする攻撃者が今後数年でさらに増えるものと予想されます。

新しい IoT ボットネットが次々と発見される中、IoT ボットネットのマルウェアは常に進化しています。Mirai では、使われることの多いパスワードのリストが使用されましたが、Reaper ボットネットは、複数の既知の脆弱性を悪用することで、28,000 台のデバイスを制御することに成功しました。そして、それらの脆弱性が存在するデバイスは 200 万台近くにも上るとされています。最近の Hide ‘n Seek と呼ばれるボットネットは、24,000 のボットを使い、その拡散方法として新たにピアツーピア方式を使用したことで注目されました。Hajime ボットネットの場合は、30 万台の IoT デバイスに感染したとされ、Mirai のソースコードを利用した Satori ボットネットは、12 時間で 28 万のボットを手中に収めたとされています。また、Okiru と呼ばれる Mirai の別の亜種は、ARC プロセッサを標的にしており、研究者の推定によれば、15 億台のデバイスに感染する恐れがあるとされています。

次に登場する大掛かりなボットネットはどれ位の規模になるのでしょうか。ある程度確実な数字でこの質問の答えを出すのは困難ですが、前述の新しいボットネットの多くが Mirai と同等以上の規模に拡大している点、また、セキュリティが不十分な IoT デバイスの製造台数が増加している点を考えれば、今後はその規模がさらに拡大するものと予想されます。我々が IoT デバイスのセキュリティを強化しない限り、ボットネットの規模の拡大を食い止めることはできません。Mirai を上回るボットネット攻撃が何時どこで発生してもおかしくない状況なのです。
– Marc Laliberte