あるハッカーが、515,000以上に及ぶサーバ、ルータ、およびIoTデバイスの認証情報のリストを、人気のあるハッキングフォーラム上で公開しました。ZDNetによれば、公開されたリストはデバイスのIPアドレスと、Telnetサービスの認証に使用されるアカウント名とパスワードで構成されていました。Telnetは、これらのデバイスの遠隔操作を可能にするプロトコルです。
ハッカーはこのリストを、インターネットを検索して露出しているTelnetのポートを見つけ出し、工場出荷時のアカウント名とパスワード、または、推測されやすいありがちなパスワードの組み合わせを用いてログインすること、つまり「辞書攻撃」を行って作成したようです。リストの項目にある日付は2019年10月から11月で、既に数カ月が経過しているため、認証情報の一部はすでに無効であるか変更されている可能性があります。
ZDNetはIoT検索エンジンを使用し、リストにあるデバイスが世界各地からのものであることを確認しました。ほとんどのデバイスは知名度の高いインターネットサービスプロバイダを利用しており、これらのデバイスはホームルータあるいはIoTデバイスであることが確認されています。ただし、一部のIPアドレスについてはクラウドサービスプロバイダのネットワーク上にありました。
このリストを公開したハッカーは、分散型サービス拒否(DDoS)攻撃サービスの提供者と考えられています。彼は、DDoSサービスのアップグレードにともないリストの公開に至ったようで、新サービスでは、IoTボットネットをベースにしたものから、クラウドサービスプロバイダからのレンタルの高出力サーバで動作するものに「改良」されている、とのことです。
■IoTボットネットを構成するマルウェアの性質
IoTボットネットのキャンペーンでは、こうしたリストを用いてアクセスしたデバイスに、マルウェアを感染させることが常套手段です。公開された膨大な認証情報のリストにより、サイバー犯罪者は強力なボットネットを構築することが可能になります。構築されたボットネットは主にDDoS攻撃を実行したり、暗号通貨をマイニングしたりするために利用されます。
通常このようなリストがインターネットで公開されることはありません。しかし一旦公開されれば、リストを入手したサイバー犯罪者によって、何度も何度も攻撃に利用されることになります。サイバー犯罪者はリスト上のIoTデバイスなどに対し、認証情報の他に、脆弱性を利用した攻撃を仕掛けることもできます。修正プログラム公開済みであっても、サイバー犯罪者は未適用のIoTデバイスが残っていると算段し、以前の攻撃で利用されたものと同じ脆弱性を狙う攻撃、つまり「nデイ攻撃」を行う事例が確認されています。
IoTデバイスに対する脅威の存在が軽視されている限り、このようなリストがIoT関連の攻撃を助長し続けると考えられます。トレンドマイクロによる「2020年セキュリティ脅威予測」でも、サイバー犯罪者によるアンダーグラウンドでのIoTボットネットの販売が継続すると予見しています。これらの実情は、ユーザのIoTデバイスに対するセキュリティ保護がいかに重要であるかを表しています。以下に、実践するべきベストプラクティスを示します。
- できるだけ迅速にデバイスに修正プログラムを適用する。修正プログラムやアップデートがリリースされたら、なるだけ早めに適用することにより、脆弱性を狙う攻撃を回避できます。
- 破られにくい複雑なパスワードを使用する。破られにくいパスワードを使用すれば、推測しやすいパスワードや初期設定のままのパスワードのリストを利用した攻撃を回避できます。
- 不要なサービスを無効にする。IoTデバイスの不要なサービスを無効にすることによって、潜在的な攻撃の可能性を最小限に抑えることができます。
■トレンドマイクロの対策
個人利用者の家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network(VBHN) 」では、接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックするとともに、不正サイトへのアクセスブロックや保護者による利用制限(ペアレンタルコントロール)などの機能を提供します。「Trend Micro Smart Home Network(SHN) 」は、家庭用ネットワークに接続されたすべてのデバイスに対するネットワークアクセス管理を可能にし、サイバー攻撃のリスクから守る組込み型ネットワークセキュリティソリューションです。大手家庭用ルータベンダーの多くがすでにこのソリューションを採用し、すでに国内外の100万以上の家庭で利用いただいており、トレンドマイクロの豊富な脅威リサーチの経験と業界をリードするDPI(Deep Packet Inspection)技術に基づいて、SHNはインテリジェントなサービス品質(QoS)、保護者による利用制限(ペアレンタルコントロール)、ネットワークセキュリティなどを提供します。
法人利用者向けには、統合型サーバセキュリティソリューション「Trend Micro Deep Security™」が、仮想パッチ機能によって脆弱性を狙う攻撃からサーバを防御します。トレンドマイクロ製品に組み込まれたクロスジェネレーション(XGen)セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くなどの今日の目的に特化した脅威から利用者を保護します。
参考記事:
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)