2017/03/07

手軽にレンタルできる IoT ボットネット

matrix code
2017 年 3 月 7 日 編集部記事

IoT ボットネットのレンタル料金は、皆さんが想像するほど高くありません。サイバー攻撃のサービスが闇市場で取り引きされるようになったことで、最近では、IoT ボットネットのサービスもたくさん登場しています。専用のボットネットを作成するハッキングサービスの昨年の販売価格は 500 ドル程度でしたが、Mirai ボットネットの世界的な影響と IoT デバイス台数の増加によって、ボットネットの闇市場はどのように変化したのでしょうか。そこで、闇市場のいくつかのサイトを調査してみたところ、次のようなことがわかりました。

IoT ボットネットは、次の 2 つの異なる方法で宣伝されています。

1 – IoT ボットネットセットアップサービス
ボットネットセットアップサービス自体は新しいものではありません。インターネットが登場して間もない頃から、ボットネットを作成する犯罪者はいましたが、いずれも、PC で構成されるボットネットでした。ところが今は、IoT デバイスでボットネットを構成できるようになったため、潜在的なゾンビボットの数がはるかに多くなりました。こうした有償サービスの売り手は、特定数のホストを悪用して実行可能ファイルをインストールできると宣伝します。この実行可能ファイルを買い手が自分で作成する場合もありますが、一般的なのは、ボットネットマルウェアも別の闇市場で購入する方法です。価格はホストあたり 0.25 ~ 1 ドル、最小注文数は 50 〜 100 が相場です。売り手がボットネットをセットアップして手渡した後の使いみちは、買い手の自由です。

2 – IoT ボットネットによる「ストレッサ」と「ブータ」のホスティング
ボットネットセットアップサービスと同様に、過剰な負荷をかける攻撃や分散型サービス拒否攻撃(DDoS)が、以前から出回っています。ストレッサは通常、攻撃で使用する OSI 参照モデルのいずれかのレイヤに対応すると宣伝されていますが、ボットネットベースのストレッサは一般的に、レイヤ 4 またはレイヤ 7 の攻撃です。レイヤ 4 攻撃では、ボットネットが大量の新規接続を発生させたり、トランスポートレイヤのプロトコルを悪用したりして、標的をリソース不足に陥れます。たとえば、Mirai ボットネットもレイヤ 4 攻撃の 1 つで、インターネット経由のポイントツーポイントリンクの作成で一般的に使用されるパケットの 1 つである、GRE パケットを大量に発生させます。レイヤ 7 攻撃では、大きいファイルのダウンロードやアップロードなどのアプリケーションデータを使って、ボットネットが帯域幅を飽和状態に陥れます。これらのタイプのどちらの攻撃でも、保護されている標的に対する攻撃を成功させるには、膨大な数のホストが必要です。

闇サイトでは、従来からある Windows ベースのストレッサだけでなく、IoT ボットネットのストレッサも販売されています。ストレッササービスの買い手は、1 日~数ヶ月の間、購入したサービスにアクセスできます。サービスの有効期間内であれば、クライアントが 1 日あたりの上限回数まで攻撃を開始でき、最低攻撃時間として、数分~数時間が保証されています。ストレッササービスの中には、価格ははるかに高いものの、攻撃回数が無制限で、買い手がいつでも DDoS 攻撃を実行できるものもあります。こういったボットネットの価格は、攻撃期間が短いものであれば数百ドル以上ですが、大規模 IoT ボットネットになると数千ドル以上のものもあります。

進化するボットネット
IoT ボットネットまたは古い PC ボットネットのどちらをレンタルしたり購入したりした場合も、動作は同じです。また、速度も変わりません。我々が気付いた唯一の違いは、IoT ボットネットが増加しているという点だけです。我々が調査したある取引市場では、DDos-as-a-Service の販売が禁止されており、これは、このサービスがあまりに過熱しているためでしょう。また、闇市場だけでなく、IoT ボットネットのセットアップを無料で教えて欲しいという依頼もたくさん見つかりました。

DDoS 攻撃を準備するのは、客観的には非常に複雑であるように思えますが、実際には、何らかの動機があり、数百ドルを払いさえすれば、素人でも簡単に攻撃を始められるのです。本当に恐ろしい時代になりました。

IoT ボットネットの詳細については、ウォッチガードの CTO、Corey Nachreiner による、Mirai ボットネットとその作者に関するビデオを参照してください。