モノのボットネット、自分がサイバー犯罪の「加害者」になる? IoTセキュリティーを考えるべき理由

ワイヤレスWebカメラやスマホで開閉できるスマートロック、そしてAmazon Echoに代表されるスマートスピーカーなど、インターネットにつないで使えるIoTデバイスは確実に普及してきています。

とはいえ、暮らしが便利になると楽観ばかりもしていられません。セキュリティー会社はこぞってIoTデバイスのセキュリティーについて警告を発しています。IoTデバイスへのハッキングは、自分が使っているデバイスのデータを抜き取られるだけでなく、大規模なサイバー攻撃へ知らず知らず加担するという結果にもつながりうるのです。

本記事では、IoTデバイスを脅かす「モノのボットネット」について、それがどういうものなのか、そしてどのような対策ができるのかを解説していきます。

ボットネットとは

ボットネットという概念自体はIoTの登場以前から存在します。

ボットネットとは平たく言えば、マルウェア(悪意あるソフトウェア)で遠隔操作できるコンピューターの集まりを意味するものです。敵地に潜入した工作員のネットワークのようなものだと考えても良いでしょう。

マルウェアをたくさんのコンピューターに感染させ、自分の思うように動かせるコンピューターをたくさん集めてネットワーク作り連携させれば、さまざまなサイバー攻撃に活用することができます。

ボットネット構築に必要なものは、遠隔操作の指示を出すコンピューター、ボットネットに感染したコンピューターと通信するためのサーバーコンピューター、そして、感染したコンピューターを遠隔操作するためのマルウェアです。

ボットネットを作ろうとたくらむサイバー犯罪者は、まずマルウェアをばらまきます。マルウェアはスパムメールや不正に改ざんされたウェブサイトなどを通じて不特定多数のコンピューターへの感染を拡大。感染したコンピューターはサイバー犯罪者の意のままに動く「ゾンビコンピューター」として、おもてむき何の変化も見せず静かに待機します。このゾンビコンピューターがたくさん集まればボットネットの完成です。

ボットネットが行う悪事は、マルウェアに感染したコンピューターやその周辺に作用するものと、全く別の外部に作用するものの2種類に大別されます

前者の例は、企業などが保管する情報を盗み出すサイバー犯罪が挙げられるでしょう。企業の保有するコンピューターにマルウェアを忍び込ませればそこからデータを盗むことができます。さらに、企業内部のネットワークに接続されている別のコンピューターに感染を拡大させることができれば、より重要な機密情報を盗み出したり、企業内部のつながりを推測したりすることも可能です。

後者の例は、ウェブサイトやウェブサービスへのDDoD攻撃が挙げられます。DDoS攻撃とは、ウェブサイトなどに短時間で大量のコンピューターからアクセスすることで処理能力をオーバーさせ、サーバーを停止させるサイバー攻撃の一種です

私たちがウェブサイトを表示する時は、ウェブサイトのデータを保管してあるサーバーコンピューターに「このウェブページを表示したい」というリクエストを送り、サーバーはそれに答えて私たちのコンピューターにウェブページのデータを送信することでウェブサイトが表示されます。

ウェブサイトによってはそのようなリクエストを短時間に数百件、数千件処理する必要があるため、サーバーコンピューターは家庭用のコンピューターよりもはるかに高性能ですが、それでも極短時間にアクセスが集中すれば負荷が高まりすぎて停止することもありえます。ちょうど何十人もが示し合わせて同じ時間に同じ店にクレームを入れれば店の人が対応できなくなるようなものです。

それを意図的に誘発することこそ、DDoS攻撃の目的です。サーバーを停止させるほどのリクエストを送信するのは個人の手には余りますが、多数のコンピューターをボットネットに組み込んで同時にアクセスさせれば簡単にできてしまいます

MiraiとHajime

マルウェアに感染しボットネットに組み込まれてしまったコンピューターは、持ち主も気づかないうちにサイバー攻撃の片棒を担ぐことになってしまいます。近年では、普及し続けるIoTデバイスに感染するマルウェアを使った「モノのボットネット」の脅威が深刻化しています

2016年10月、アマゾンやツイッター、Airbnbなど数多くの有名サイトを停止させた大規模なDDoS攻撃が発生しました。この攻撃で使われたのは、「Mirai」と呼ばれるマルウェアに感染した10万台にも上るIoTデバイスです。Miraiはこの攻撃以前からサイバー攻撃に利用されており、2016年9月にKrebsonSecurityというブログを標的に行われたDDoS攻撃は、1秒間に80ギガバイト(一般的なDVD約17枚分)のデータを送信してサーバーを停止させるという、当時でいえば史上最大規模の攻撃が行われています。

なぜ普通のコンピューターではなくIoTデバイスでボットネットを作るのでしょうか?

一つ目の理由は、IoTデバイスは数が多く、大規模なボットネットを作りやすいためです。

総務省発表の平成28年度版情報通信白書によれば、2015年時点でIoTデバイスの総数は約154億個あり、2020年には倍の約304億個まで増えるといわれています。10万台のIoTデバイスを活用した攻撃はかなり大規模で強力なサイバー攻撃なのですが、全体の数字と比較すれば10万分の1にも満たない数であることがわかります。感染能力の高いマルウェアが今後現れたとすれば、攻撃がさらに大規模化する可能性さえあるでしょう。

第二の理由は、IoTデバイスにまつわるセキュリティー意識の低さです。

Miraiが感染する手口はそれを如実に示す一例でしょう。Miraiは目標とするデバイスに感染する際、デフォルトで設定されている可能性が高いユーザーネームとパスワードをいろいろと組み合わせてログインを試みるのです。デフォルトのユーザーネームを変更するだけでもMiraiの感染を防ぐ有効な手段になるのですが、それでも感染が拡大したのはユーザー側の意識の低さが原因でしょう。

とはいえ、メーカー側にも落ち度はあります。製品によってはパスワードが初期設定から変更できないものがあったり、ネットワークの通信を暗号化せず送受信しているものもあったりします。コストパフォーマンスを優先した結果、多少のリスクは仕方ないと判断しているメーカーもあることでしょう。しかしモノのボットネットの脅威が顕在化してくれば、セキュリティーの基準を整備する必要が出てくるはず。

IoTデバイスのセキュリティーリスクは年々増加しています。Miraiはソースコードが公開されているため、ハッカーが自由に改造できる状態にあり、今後もさまざまな亜種が登場すると予想されています。

また最近ではHajimeと呼ばれるマルウェアが感染を広げています。こちらはMiraiとは違ってサイバー攻撃を行うための機能はなく、逆にデバイスのセキュリティーを強化するような振る舞いをするという異質なマルウェア。製作者からのメッセージには「システムを安全にするためのものだ」と明記されていますが、本当の意図はわかりません。本当の目的がどうあれ、専門家も不気味な存在として注目しています。

ちなみに、MiraiもHajimeも日本語由来の名称であり、Mirai製作者のHNは日本のラノベキャラクターから取られているそうです。日本に精通した人物であることは間違いありませんが、それが日本人かどうかは不明です。