2020年、IoT機器をめぐる脅威はどう変わる？ 吉岡准教授が解説する最新動向と対策（その１）

2020年、東京オリンピック・パラリンピックという一大イベントの開催を控えて警戒が高まっているのがサイバー攻撃だ。過去のオリンピックを振り返っても、いたずら半分のスキャン（調査）行為に始まり、嫌がらせも含めたDDoS攻撃、そして大会関連組織に対する標的型攻撃に至るまで、さまざまなレベルのサイバー攻撃が観測されてきた。

もちろん、むやみやたらと怯える必要はない。だが自らの手でできる対策があるのに放置し、みすみす被害を受けたり、DDoS攻撃に加担してしまう事態も避けるべきだろう。長年にわたってIoT機器に対するサイバー攻撃の状況を観測し、対策を提示してきた横浜国立大学大学院環境情報研究院の吉岡克成准教授に、「果たして現状はどうなっているのか」「われわれはそれにどのように備えるべきか」を尋ねた。

目立つ攻撃例こそないものの、「嵐の前の静けさ」にあるIoTセキュリティ

Q：IoT機器のはらむリスクが認識されるようになり、デフォルトパスワードのままなど、脆弱な状態でインターネットにつながっているIoT機器を調査し、注意喚起を行う「NOTICE」のような取り組みも始まりました。IoTを取り巻くセキュリティ環境は改善されつつあるのではないでしょうか？

吉岡准教授(以下吉岡)：確かに、以前に比べると脅威を認識する人が増え、「このままでは危ない、IoTのセキュリティを何とかしよう」という意識は高まってきました。特にルーターは攻撃の矢面に立つことから、デジタル家電や周辺機器のメーカーが設立した一般社団法人デジタルライフ推進協会（DLPA）では、「最新ファームウェアで運用する」「より安全なパスワードを設定する」といった、Wi-Fiルーター利用時におけるセキュリティ提言を公表しています。

このように認識が高まること自体はいいことですが、問題は、その効果が現れるのに時間がかかることです。NOTICEで注意喚起の対象となった脆弱なIoT機器の件数はのべ1328件とそれほど多くありませんが、全世界的に見て攻撃が減っているわけではありません。いろいろな努力が始まっていますが、それでもまだアンマネージドの状態で攻撃を受けている機器は多数あり、なかなか数字で見えるほどの効果に至っていません。むしろ、手の込んだ攻撃手法が出てきていることから、私は「改善」とはいえないと思っています。

Q：2〜3年前に比べると報道は減っているように見えますが。

吉岡：それは、かつて大規模なDDoS攻撃を実施して障害を引き起こした「Mirai」のような、目に見える攻撃がないからに過ぎないのではないでしょうか。メディアで報じられていないからといって、攻撃が収まっている根拠にはまったくなりません。

攻撃者の視点で考えてみると、Miraiはむしろ「失敗」だったかもしれません。あれほど派手な攻撃をしてしまうと、関係機関も対処に動きます。攻撃者にとっては、目立たず、気づかれないように潜伏し続けることこそ、本当の成功とも考えられます。残念ながら、脆弱な機器はまだ山のようにありますから、悪用される可能性は減るとは思えません。

もしかすると攻撃者はいま、スパムメールをばらまいたり、コインマイナーに感染させたりと効率的にお金を稼ぐ方法を試行錯誤しており、まだ決定的な方法が見つかっていないのかもしれません。ひとたび誰かがいい方法を見つけて成功すれば次々に追随する人が増えるでしょうから、注意が必要でしょう。そういう意味で、ブレイクはしていないけれど、火種はまったく消えていないという印象を持っています。

Q：脆弱なIoT機器を探索するスキャン行為も減っていませんね。

吉岡：NOTICEのように公にされているプロジェクトだけでなく、そうではない主体による探索行為も明らかに増えています。攻撃者にとっては、必要な時に使えるように、世界のどこにどういったIoT機器があり、どうすれば侵入できるのかといった事柄がわかっている方が何かと有利です。そう考えると、これだけ探索行為が増えているのに、目立った攻撃が何もないのはなぜなんだろうという気もします。嵐の前の静けさかもしれません。

再起動しても消えないものも？ より多様化するIoTマルウェア

Q：2019年に、気になったIoTマルウェアなどはありましたか？

吉岡：はい、いくつか技術的なところで気になっているものがあります。MiraiのDDoS攻撃はかなり威力が出て、皆を驚かせましたが、基本的には感染した機器からダイレクトにターゲットにアクセスするものでした。これに対し、最近出てきた「Momentum」というIoTマルウェアは、パケットを増幅させるリフレクション機能を持つもので、オリジナルのボットネットが出せる威力の何倍もの攻撃ができると予想されます。

IoT機器によるDDoSも、リクレフション攻撃も、単体ではこれまでにもたくさんありました。しかし、この2つが組み合わさることによって、これまで知られていたものよりさらに大きい規模のDoS攻撃が起きる可能性があるかもしれないと思い、注視しています。

Q：以前のように、DDoS攻撃を仕掛けるぞと脅迫して金銭を要求する攻撃が出てくるかもしれませんね。

吉岡：いろいろな攻撃者がいます。お金を稼ぐことを目的とした攻撃もそうですが、それでなくても目立つことを目的とする攻撃者ならば、東京オリンピックを狙うモチベーションは高いかもしれません。

これと別に注目しているのが、「BlickerBot」です。2017年、Miraiが登場した少し後に出てきたIoTマルウェアです。これは一種歪んだ正義というべきか、「脆弱でメンテナンスされていない機器は『サイバーデブリ』であり、人に迷惑をかける」という考えの元にIoT機器に侵入してファームウェアのコードを破壊し、動かなくしてしまうものだったと言われています。2017年当時のキャンペーンは短期間で終わりましたが、2019年になって再び登場してきました。

金銭目的の攻撃ならば経済原則に従うため動きがわかりやすいのですが、BlickerBotのような攻撃はメンタリティが読みにくいところがあるため、注意が必要だと思っています。ルーターやカメラといった家庭にある機器だけでなく、重要な機器が侵入され、動かなくなると非常に困った事態になりますが、技術的にはこうしたものがいつ出てきてもおかしくないと思っています。

Q：破壊と引き換えに金銭を要求するという具合に、IoTを狙うランサムウェア的に使われる可能性はあるでしょうか？

吉岡：あるかもしれませんが、金銭を要求するには、ターゲットが比較的多機能なシステムで、身代金を要求するためのUIなども備えている必要があります。ないとはいえないでしょうが、もっと怖いのは重要なシステムへの侵入口として使われることです。IoT機器そのものには高い価値がなくても、入った先にいいものがあると考え、それを踏み台的に使って何かをする、という具合に使われるかもしれません。

他のサイバー攻撃、例えば標的型攻撃のC2サーバの隠れ蓑としてIoT機器が使われる例も報告されています。国外となりますが、標的型サイバー攻撃のC2サーバを調査したところ実態はルーターだったというケースがありました。攻撃者にとっては、急に国外のIPアドレスからアクセスがあると目立ちますが、自国のIPアドレスからのアクセスならば通信が見つかりにくい上、家庭のルーターはあまり適切に管理されていないため見つかりにくいといった利点があります。数は多くはありませんが、実際にそうした形でIoT機器を悪用する攻撃者グループがあります。

Q：継続的に悪用する動きも出てきているのですね。

そういう意味では、機器の電源が切れたり、再起動しても感染が続く持続感染型のIoTマルウェアが出てきています。

再起動すると消えてしまうMiraiは、攻撃者の視点からするとちょっと使いにくいところがありました。使おうとしたときに消えていたら困りますから、拠点化、踏み台化するために安定性が必要だ、という背景からだと思いますが、「VPN Filter」や「Hajime」の一部の亜種のように、電源を切っても感染が続くものがいくつか報告されています。

ただ、汎用的なOSが使われているIT向けのマルウェアとは異なり、どこに自分自身を格納し、どう設定すれば消えないかは機器ごとに違うため、ファームウェアを調査・解析して作る必要があります。攻撃者もそれに気づいて、どのメーカーのどの機種はどこに置けばいいかといった事柄を解析し、そうしたマルウェアを作り始めています。世の中に多く出回っている機器、有名どころやよく使われている機器から順に狙われるだろうと思われます。