ワイヤレスWebカメラやスマホで開閉できるスマートロック、そしてAmazon Echoに代表されるスマートスピーカーなど、インターネットにつないで使えるIoTデバイスは確実に普及してきています。
とはいえ、暮らしが便利になると楽観ばかりもしていられません。セキュリティー会社はこぞってIoTデバイスのセキュリティーについて警告を発しています。IoTデバイスへのハッキングは、自分が使っているデバイスのデータを抜き取られるだけでなく、大規模なサイバー攻撃へ知らず知らず加担するという結果にもつながりうるのです。
本記事では、IoTデバイスを脅かす「モノのボットネット」について、それがどういうものなのか、そしてどのような対策ができるのかを解説していきます。
ボットネットとは
ボットネットという概念自体はIoTの登場以前から存在します。
ボットネットとは平たく言えば、マルウェア(悪意あるソフトウェア)で遠隔操作できるコンピューターの集まりを意味するものです。敵地に潜入した工作員のネットワークのようなものだと考えても良いでしょう。
マルウェアをたくさんのコンピューターに感染させ、自分の思うように動かせるコンピューターをたくさん集めてネットワーク作り連携させれば、さまざまなサイバー攻撃に活用することができます。
ボットネット構築に必要なものは、遠隔操作の指示を出すコンピューター、ボットネットに感染したコンピューターと通信するためのサーバーコンピューター、そして、感染したコンピューターを遠隔操作するためのマルウェアです。
ボットネットを作ろうとたくらむサイバー犯罪者は、まずマルウェアをばらまきます。マルウェアはスパムメールや不正に改ざんされたウェブサイトなどを通じて不特定多数のコンピューターへの感染を拡大。感染したコンピューターはサイバー犯罪者の意のままに動く「ゾンビコンピューター」として、おもてむき何の変化も見せず静かに待機します。このゾンビコンピューターがたくさん集まればボットネットの完成です。
ボットネットが行う悪事は、マルウェアに感染したコンピューターやその周辺に作用するものと、全く別の外部に作用するものの2種類に大別されます。
前者の例は、企業などが保管する情報を盗み出すサイバー犯罪が挙げられるでしょう。企業の保有するコンピューターにマルウェアを忍び込ませればそこからデータを盗むことができます。さらに、企業内部のネットワークに接続されている別のコンピューターに感染を拡大させることができれば、より重要な機密情報を盗み出したり、企業内部のつながりを推測したりすることも可能です。
後者の例は、ウェブサイトやウェブサービスへのDDoD攻撃が挙げられます。DDoS攻撃とは、ウェブサイトなどに短時間で大量のコンピューターからアクセスすることで処理能力をオーバーさせ、サーバーを停止させるサイバー攻撃の一種です。
私たちがウェブサイトを表示する時は、ウェブサイトのデータを保管してあるサーバーコンピューターに「このウェブページを表示したい」というリクエストを送り、サーバーはそれに答えて私たちのコンピューターにウェブページのデータを送信することでウェブサイトが表示されます。
ウェブサイトによってはそのようなリクエストを短時間に数百件、数千件処理する必要があるため、サーバーコンピューターは家庭用のコンピューターよりもはるかに高性能ですが、それでも極短時間にアクセスが集中すれば負荷が高まりすぎて停止することもありえます。ちょうど何十人もが示し合わせて同じ時間に同じ店にクレームを入れれば店の人が対応できなくなるようなものです。
それを意図的に誘発することこそ、DDoS攻撃の目的です。サーバーを停止させるほどのリクエストを送信するのは個人の手には余りますが、多数のコンピューターをボットネットに組み込んで同時にアクセスさせれば簡単にできてしまいます。
MiraiとHajime
マルウェアに感染しボットネットに組み込まれてしまったコンピューターは、持ち主も気づかないうちにサイバー攻撃の片棒を担ぐことになってしまいます。近年では、普及し続けるIoTデバイスに感染するマルウェアを使った「モノのボットネット」の脅威が深刻化しています。
2016年10月、アマゾンやツイッター、Airbnbなど数多くの有名サイトを停止させた大規模なDDoS攻撃が発生しました。この攻撃で使われたのは、「Mirai」と呼ばれるマルウェアに感染した10万台にも上るIoTデバイスです。Miraiはこの攻撃以前からサイバー攻撃に利用されており、2016年9月にKrebsonSecurityというブログを標的に行われたDDoS攻撃は、1秒間に80ギガバイト(一般的なDVD約17枚分)のデータを送信してサーバーを停止させるという、当時でいえば史上最大規模の攻撃が行われています。
なぜ普通のコンピューターではなくIoTデバイスでボットネットを作るのでしょうか?
一つ目の理由は、IoTデバイスは数が多く、大規模なボットネットを作りやすいためです。
総務省発表の平成28年度版情報通信白書によれば、2015年時点でIoTデバイスの総数は約154億個あり、2020年には倍の約304億個まで増えるといわれています。10万台のIoTデバイスを活用した攻撃はかなり大規模で強力なサイバー攻撃なのですが、全体の数字と比較すれば10万分の1にも満たない数であることがわかります。感染能力の高いマルウェアが今後現れたとすれば、攻撃がさらに大規模化する可能性さえあるでしょう。
第二の理由は、IoTデバイスにまつわるセキュリティー意識の低さです。
Miraiが感染する手口はそれを如実に示す一例でしょう。Miraiは目標とするデバイスに感染する際、デフォルトで設定されている可能性が高いユーザーネームとパスワードをいろいろと組み合わせてログインを試みるのです。デフォルトのユーザーネームを変更するだけでもMiraiの感染を防ぐ有効な手段になるのですが、それでも感染が拡大したのはユーザー側の意識の低さが原因でしょう。
とはいえ、メーカー側にも落ち度はあります。製品によってはパスワードが初期設定から変更できないものがあったり、ネットワークの通信を暗号化せず送受信しているものもあったりします。コストパフォーマンスを優先した結果、多少のリスクは仕方ないと判断しているメーカーもあることでしょう。しかしモノのボットネットの脅威が顕在化してくれば、セキュリティーの基準を整備する必要が出てくるはず。
IoTデバイスのセキュリティーリスクは年々増加しています。Miraiはソースコードが公開されているため、ハッカーが自由に改造できる状態にあり、今後もさまざまな亜種が登場すると予想されています。
また最近ではHajimeと呼ばれるマルウェアが感染を広げています。こちらはMiraiとは違ってサイバー攻撃を行うための機能はなく、逆にデバイスのセキュリティーを強化するような振る舞いをするという異質なマルウェア。製作者からのメッセージには「システムを安全にするためのものだ」と明記されていますが、本当の意図はわかりません。本当の目的がどうあれ、専門家も不気味な存在として注目しています。
ちなみに、MiraiもHajimeも日本語由来の名称であり、Mirai製作者のHNは日本のラノベキャラクターから取られているそうです。日本に精通した人物であることは間違いありませんが、それが日本人かどうかは不明です。
個人でできる対策
こうしたマルウェアの感染を完全に防ぐことは難しくとも、対策を取ることは可能です。総務省発表のガイドラインの中から、マルウェア感染対策として有効なものを取り上げてみましょう。
1. 問い合わせ窓口やサポートがないデバイスは買わない
マルウェアはデバイスの脆弱性を突いて感染してきますが、適切なサポートやアップデートが提供されたなら、そうした脆弱性をなくして感染を防ぐことが可能です。逆に言えば、適切なサポートが受けられない場合、犯罪者に付け入るスキを見せ続けていることになってしまいます。
2. ユーザーネームやパスワードを変更する
上記のMiraiの感染経路で説明したように、デバイスのデフォルトユーザーネームやパスワードをそのままにしておくのは危険なことです。面倒に思えても設定を変更するようにしましょう。これに関しては、メーカー側も設定変更を必須にする、また設定変更できないような設計にしない、といった工夫が求められる点でもあります。
3. 使わないデバイスの電源を切る
電源が入った状態のIoTデバイスは常にインターネットに接続されています。ということは、常にマルウェアに感染する可能性があるということなので、使っていないデバイスの電源はちゃんと切っておきましょう
普段から使うデバイスの電源を切ることにも意味があります。Miraiはデバイスの揮発性メモリーのデータを書き換えることで感染するため、電源を切ると感染していない状態に戻ります。必ずしもどんなマルウェアにも有効な手段とは限りませんが、少なくともMiraiに対しては効果があるので、たまに電源を落とすのを覚えておくといいかもしれません。
(参考: SSDと物理メモリは何が違うか、揮発性メモリと不揮発性メモリ)
サイバー犯罪は年々巧妙化の一途をたどっています。そして今や、私たちにとってもはや他人事ではなくなってしまいました。
マルウェアに感染することで、私たちの身の回りにあるデバイスが知らず知らずサイバー攻撃に加担する――ということが起こり得るようになったのです。
今後私たちは、自分が被害にあわないためだけでなく、他者の被害を防ぐという意識をもってセキュリティーを考える必要があるのかもしれません。