2017 年 10 月 19 日(現地時間)、IoT 機器を狙う「Reaper(リーパー、「ELF_IOTReaper.A」として検出)」が確認されました。報道によると、100 万以上の法人ネットワークに感染し、引続きその感染を拡大しています。Reaper を確認したセキュリティ企業「Check Point」および「Qihoo 360 Netlab」のリサーチャによると、Reaper で構成されるIoTボットネットは、2016 年末に確認された、Linux を搭載した IoT 機器を狙う「Mirai」よりも巧妙な手口を利用しており、潜在的な危険度も高いとのことです。事実、Reaper は Mirai のソースコードの一部を利用していますが、機器に感染する手法は異なります。
■Reaper の特徴
Mirai は、通常、開放されているポートをスキャンするか、初期設定または弱いパスワードを使用するセキュリティ上脆弱な機器を利用して拡散します。一方 Reaper は、さまざまな、「Internet of Things(モノのインターネット、IoT)」機器に存在する既知の脆弱性を突いて機器を乗っ取り、コマンド&コントロール(C&C)サーバとの通信による遠隔操作を可能にします。つまり、特定の IoT 機器を標的としたものではなく、脆弱性を持つネットワークカメラ(IPカメラ)や Network Attached Storage(NAS)機器、サーバだけでなく、広く利用されているさまざまなルータを対象とします。Check Point の報告によると、既に数百万台の IoT 機器が Reaper に感染しており、C&C サーバからのコマンドを待機している状態にあるとのことです。
Mirai は「distributeddenial-of-service(分散型サービス拒否、DDoS)」を実行することで既に周知されています。一方、Reaper による DDoS 攻撃は、現時点では確認されていません。しかし、Reaper は、より複雑な攻撃を実行する能力を備えています。Reaper には、主に組込みシステムで使用される軽量プログラミング言語「LUA」の実行環境が統合されています。これにより、攻撃者は DDoS やトラフィックのプロキシなどの攻撃を実行するモジュールのソースコードを送り込むことが可能になります。Check Point は報告の中で、現状の Reaper には特定の攻撃機能は確認されていないものの、迅速に変化を続けており、今後 Mirai よりもはるかに大規模な被害をもたらす可能性があると述べています。
■被害に遭わないためには
以前の記事 でも説明している通り、IoT 機器に対するセキュリティについて意識すべきです。IP カメラやルータなどの IoT 機器は脆弱性攻撃の影響を受けやすいことを認識し、ユーザは製造元に対して利用可能な更新プログラムの有無を確認する必要があります。家庭内のインターネットに接続したすべての機器を定期的に更新してください。また、デフォルトの管理設定を放置せず強力なパスワードを使用する、などの心がけだけでも、ハッカーに狙われやすいIoT 機器を守る上で大きな役に立つことを留意してください。
■トレンドマイクロの対策
ホームゲートウェイ事業者向けに OEM 提供される「Trend Micro Smart Home Network™」は、脆弱性攻撃を侵入防御機能(IPS)により、検知・ブロックする他、Web の脅威対策により、C&Cサーバとの通信を検知・ブロックすることで、本脅威からホームネットワークを保護します。
家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」、は、ホームネットワーク内に侵入した脆弱性攻撃を侵入防御機能(IPS)により、検知・ブロックする他、Webの脅威対策により、C&Cサーバとの通信を検知・ブロックすることで、本脅威からホームネットワークを保護します。
IoT機器ベンダー向けセキュリティソリューション「Trend Micro IoT Security」は開発時のエージェントとして製品に組み込むことで、IoTデバイスのリスク検知やシステム保護を実現します。
参考記事:
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)