「Mirai」による DDoS事例から IoT の「エコシステム」を考察する

「Mirai」による DDoS事例から IoT の「エコシステム」を考察する

2016年10月21日、DNSサービスプロバイダ「Dyn」が、「分散型サービス拒否(distributed denial-of-service、DDoS)」の大規模な攻撃を受けたことが大きく報道されました。この事例ではセキュリティ対策が不十分な IoT機器に感染した不正プログラムが DDoS攻撃の大部分を占めたものとされています。IoT機器経由での攻撃が、インターネットを支えるインフラストラクチャの重要部分を機能停止させ、それに伴い多くの大手サイトが利用不能となったことは、「モノのインターネット(Internet of Things、IoT)」のセキュリティ確保に関する重大な警告となりました。

Dyn への大規模 DDoS攻撃について以下にまとめます。

先週10月21日(金)、Dyn の報告によれば、何千万もの分散した IPアドレスからの大規模な攻撃が Dyn を襲いました。最初の攻撃は、東部標準時午前 7時に開始し、米国東海岸のユーザが影響を受け、2時間後に緩和されました。2度目の攻撃は、東部標準時正午 12時頃に開始し、世界中のユーザが影響を受け、1時間後に緩和されました。3度目の攻撃は、同日午後に開始しましたが、ユーザに影響が及ぶ前に緩和されました。

この攻撃はどこから仕掛けられたのでしょうか。攻撃の大部分は、不正プログラム「Mirai」(「ELF_GAFGYT.DGB」あるいは「ELF_BASHLITE.SM」として検出)に感染した IoT機器によって実行されました。なお、2016年10月初旬に「Mirai」のソースコードが公開されたため、現在、どんな攻撃者でも「Mirai」で構成されるボットネットを利用できる状況にあります。この攻撃に関して、主として、OEM製品であるデジタルビデオレコーダー(DVR)や Webカメラの製造業者の責任が問われています。この製造業者は、脆弱性を持つ機器のリコールを決定しました。それ自体は、相当な費用がかかるとはいえ、正しい決定でしょう。とはいえ、他の製造業者による IoT機器も関わりがある恐れが十分にあります。

図1
図1:「Mirai」による DDoS攻撃図

■セキュリティが改善されなければ攻撃は止まない
このような攻撃が「前代未聞」というわけではありません。ほんの数週間前、米国のセキュリティ専門家 Brian Krebs氏が同様に「Mirai」で構成されたボットネットによる DDoS攻撃を受けています。IoT機器のセキュリティを確保する方法が見つかるまで、攻撃が止むことはないと考えられます。

現状、形勢は攻撃者にとって有利です。セキュリティが確保されていないか、確保することが困難であるか、あるいは今後も確保される見込みのない IoT機器が溢れているからです。DDoS攻撃により企業のサーバを利用不能にするという脅迫は、実に効果的で真実味のある強力な脅威となりました。

IoT機器を利用した DDoS攻撃による影響は、現実の世界に及びます。このような機器が中央サーバへ接続できなくなると、どうなるでしょうか。時として処理不能な状態になり、利用者の生活に支障を来すことがあります。以前は、DDoS攻撃といえば、迷惑で苛立たせるだけのものでした。しかし、現在では重要な機能がますますインターネット上に置かれるようになったため、実に深刻な脅威となったのです。

■IoT機器のセキュリティを確保するためには
IoT機器のセキュリティを確保するため対策が必要なのは明白です。残念ながら、現在これは難しい問題となっています。利用者が突然 IoT機器に精通し、自らセキュリティを確保する努力を行うようになることは期待できません。利用者が最も優先するのは、今も昔も相変わらず「機能しているかどうか」です。

IoT機器の販売元についてはどうでしょうか。販売者がいつも自分たちの販売している機器を修理できるだけの技術的知識を備えているとは限りません。OEM製品にブランド名を付け変え、自社ブランドとして販売しているだけのこともあるでしょう。製品の再販売業者や輸入元が、販売する商品のセキュリティを実際に保証することはあまり期待できないと考えられます。

この問題は IoT機器の実際の製造業者の手に委ねることになります。しかし残念ながら、ここでもやはりセキュリティは最優先事項ではありません。利用者にとっての使いやすさや新機能、売れ筋かどうか、などがセキュリティよりも優先されます。IoT機器の OEM製造業者にとってみれば、セキュリティ確保に予算を費やしても売り上げに貢献するとは考えられていません。また、長期の保証には、時間も人手も費用もかかるため、製造業者のコスト削減の対象となる部分です。

つまり、IoT機器のセキュリティを確保する作業実行のための動機が持ちにくく、IoTのセキュリティ確保のための「エコシステム」が機能していないのが現状であると言えます。

■規制を導入する必要があるか
IoTセキュリティのエコシステムが機能しなければ、IoT機器は常に脅威にさらされることになります。IoTセキュリティの不安定さが現実社会に及ぼす被害が明らかになれば、政府規制が導入される可能性が考えられます。

規制はいつも技術業界には歓迎されないとはいえ、他に例がないわけではありません。ほとんどの電気製品は、いろいろな安全基準をクリアしていなければなりません。基本的なセキュリティ上の問題をクリアして認証取得するプロセスの導入は、的外れではないでしょう。

すべての IoT機器が、脆弱性を1つも持たないようにセキュリティを確保するのは難しいかもしれません。しかし、開放されているポート、ユーザ名が “admin” パスワードが “admin” のような初期設定や、暗号化無しでの送信、といった基本的なセキュリティ上の問題の解決は決して無理な話ではありません。IoT機器の製造業者は自社製品が利用者の暮らしの一部になることを望んでいるはずですが、そのためにもインターネットを破たんさせないようなセキュリティの確保をお願いするのは、無理な要求ではないでしょう。

■将来的には改善される IoTセキュリティ
長期的に見れば、IoTセキュリティは改善が期待できます。セキュリティの確保されていない IoT機器による被害が明白になれば、そのような IoT機器は危険、あるいは違法と見なされるでしょう。安全でない自動車や電気製品の販売はできないように、将来は、がら空きの Telnetサーバに接続された Webカメラのようなものも販売できなくなるでしょう。

IoT機器製造業者は、どのように安全な製品を製造できるでしょうか。現実的には、強制的にセキュリティを改善する方法を学ぶことになるでしょう。単にセキュリティリスクを認識するだけでも、現状の IoT機器に見られる重大な不具合のほとんどは改善されます。

すでに改善の兆候は、IoT機器製造業界と規制の両方で見られます。欧州委員会は現在、IoT機器のセキュリティのための新しい規制を検討しています。製造業界は、IoT機器のセキュリティ改善のための計画指針を公開しました。セキュリティ企業も改善に尽力しています。トレンドマイクロでは、一般ユーザが自宅のネットワークを安全に利用するための技術や製品を開発しています。

このように、セキュリティの重要性が真剣に認識され、IoT のエコシステムが、手遅れになる前に改善され始めています。セキュアなエコシステムにたどり着くまでの間、私たちは、セキュリティ対策が十分でない IoT機器が引き起こす、さらに深刻なセキュリティ事例を目の当たりにするかもしれません。これは、IoT機器製造業界、セキュリティ企業、そして規制者が連携してどれほど迅速にセキュアなエコシステムへ移行できるかにかかっています。

【更新情報】

2017/04/19 18:55 本記事公開後、Dynより、分散したIPアドレスの数値について更新がありました。
更新前:何千万もの分散した IPアドレスからの大規模な攻撃
更新後:10万に上る分散した IPアドレスからの大規模な攻撃

参考記事:

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)