IoT ボットネットと従来のボットネットとの違い
2016 年 10 月 28 日 編集部記事
先週金曜日の DNS(ドメインネームサービス)ホスティングプロバイダ Dyn に対する分散型サービス拒否攻撃の報道を聞いて、誰もが、このような攻撃がなぜ可能だったのかと疑問に思ったことでしょう。Dyn が発表した声明によると、この攻撃と関連するとされる数千万の IP アドレスは、KrebsonSecurity や OVH に対する攻撃で使われたのと同じ、Mirai に感染した IoT デバイスのものでした。ボットネットは初期のハッキングから使われてきましたが、IoT ボットネットでは、従来の方法が改良されています。ウォッチガードの情報セキュリティ脅威アナリストである Marc Laliberte は Help Net Security のコラムで、Mirai が多数の IoT デバイスから成るボットネットをどのように構成し、過去のボットネットと何が違うのかを説明しています。ここでは、記事の一部を紹介します。
Mirai のボットネットは、2 つの主要な機能、すなわち、脆弱性のあるホストを次々と見つけて感染させることでボットネットを拡大し、感染させたホストを使用して DDoS 攻撃を開始するという点では、ほとんどのマルウェアと同じです。Mirai や他の IoT ボットネットと従来の Windows ベースのボットネットとの違いは、膨大な数の IoT デバイスを巻き込むことで被害が大規模化する点にあります。
ほとんどの IoT デバイスがセキュリティを考慮して設計されていないために、IoT ボットネットの影響は、従来の Windows ベースのボットネットよりも広範囲に拡大します。多くの IoT メーカーには、ネットワーク接続された機器の保護に関する経験がなく、デフォルト設定のない、既成の内蔵オペレーティングシステムが選択される傾向にあります。
Help Net Security の記事全文をお読みになり、Dyn 攻撃の詳細を解説している Corey Nachreiner のデイリーセキュリティバイトのビデオの記事全文もご覧ください。