クルウィットとBBソフトサービス、IoT機器へのポートスキャンや脆弱性ある製品への探索が増加と発表

株式会社クルウィットでは、組織内外のダークネットを活用してIoT機器やPCを監視する「SiteVisor」を提供している。SiteVisorでは、誰も利用していないIPアドレス（ダークネット）に観測機器を配置し、そのIPアドレス宛に「どのような攻撃を想定した通信があったか」を調査している。

このほど、BBソフトサービス株式会社とクルウィットは、SiteVisorで観測したデータを基にIoT機器などへのサイバー攻撃の傾向をまとめた「ダークネット観測リポート（2021年1月～3月分）」を発行した。

同四半期におけるダークネット宛のパケット数については、上図の観測結果となった。この四半期では、1月と2月はIoT関連のマルウエアが利用するポートへのスキャンの増加、3月は脆弱性がある製品やソフトウェアの探索を目的していると思われるスキャンの増加を観測した。探索活動はサイバー攻撃の第一歩となるため、引き続きソフトウェアのアップデートや定義ファイルの更新などを定期的に行うことが重要になる。

同期間におけるダークネット宛に通信をしたホスト数については、以下の観測結果となった。2021年3月にホスト数の増加が見られるが、これは送信元IPアドレスを詐称したICMPパケットによるものである。ICMPパケットは通常IPアドレス通信の補助パケットであり一般的に利用されているものである。こういった通信も利用してサイバー攻撃を仕掛けてくるという。

同期間におけるダークネット宛への宛先ポート番号の観測状況については、前回と同様に445/TCP（microsoft-ds）と1433/TCP（ms-sql-s）といったWindows系ホストを狙った通信であり、従来から続いている。現在のIoTマルウエアは、23番ポート以外にも1024番ポート以上のポートと組み合わせて利用されており、1024番以上のポートへのスキャンも増加している。

同期間におけるダークネット宛に通信をした国別状況については、以下の観測結果となった。

2020年4月から2021年3月まで継続的に感染先や侵入先を探索する通信が行われており、予断を許さない状況が続いている。これらの探索パケットは昨今の企業の情報漏えいのきっかけになっている可能性もある。個人・法人含めパソコンやソフトウェアの脆弱性や見落とされがちなIoT機器のセキュリティ対策などの対策をしっかり行い、感染・侵入されないよう対策を行う必要があると考察している。

また、FY21年度も同様の傾向は続くことが予想され、特に世界的なイベントや国際情勢によりサイバー攻撃が増加する傾向がある。すべてのインターネット利用者の端末がサイバー攻撃を行うための調査・危険にさらされているという意識を持ち継続的にセキュリティ対策を行うことが重要となると分析している。

IoT機器を攻撃から守る方法として、以下が挙げられる。

• IoT機器をしっかり調べて購入する

安くてセキュリティ対策がしっかり施されていない製品もあるため、メーカーホームページでセキュリティ対策を実施しているか、もしくはセキュリティパッチ情報が定期的に更新されているかどうかを確認する。

• 初期パスワードを変更する

多くのルーターやIoT機器には、メーカーが初期パスワードを設定している。このパスワードを変更しないまま放置しておくと、不正侵入の原因となるため、必ず変更する。パスワードは8文字以上で作成し、大文字・小文字・数字・特殊文字を使用すると強度が高くなる。

• セキュリティ更新や修正情報を確認する

メーカーが発表している最新のセキュリティパッチ情報を常に確認し、OSやファームウェアを最新に保つ。または脆弱性診断ツールを使用して、自動的にこれらの情報を確認できるようにすると便利だという。

• IoT機器専用のWi-Fiネットワークを作る

IoT機器用にもう1台ルーターを用意し、個人情報など重要な情報を保存しているPCやリモートワークで使用するPC等と、IoT機器のWi-Fiネットワークを分けておく。この方法により、万が一IoT機器がハッキングされた場合でも、個人情報に侵入される心配はない。多くのルーターは、ゲストネットワークを設定できるようになっているので、この機能も活用すると良い。

• 専用のソリューション（セキュリティ機能付きWi-Fiルーター）を導入する

SECURIE powered by Bitdefenderは、IoT機器、PC、タブレット、スマートフォンなどをまとめて保護する。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されている。さらに、高性能セキュリティソフトが台数無制限で利用できるので、外出中でもモバイルデバイスを守ることができる。

IoT機器を攻撃する専用のウイルスとして、代表的なマルウエア「Mirai」といわれるものがある。スマートスピーカーなどのIoT機器を踏み台にして、企業のサーバーなどを攻撃する。たとえIoT機器がマルウエアに感染したとしても、利用者に実被害がでる可能性は低いこともあるが、犯罪者に利用され犯罪の片棒を担ぐこととなる。今後はIoT機器の誤作動を行うようなマルウエアが出てくる可能性も高く、セキュリティ対策を施す必要性があるという。

さらに、犯罪者はポートを利用して攻撃を仕掛けてくる。ポートとは、機器同士が通信を行うときのドア（出入口）のようなもので番号がつけられている。犯罪者がよく使うのは「遠隔操作ができる」ポートである。これを悪用すれば、IoT機器を含めたパソコンやIoT機器を操作することができる。

IoT機器はインターネットにつながっている機器という認識が薄く、ログインIDやパスワードを購入時のまま変更してなかったり、変更していても簡単なものに設定してしまっていたりすることも多いようだ。犯罪者はそのような機器を狙っている。