サイバー犯罪の代理人 IoTデバイスが温床に?! -セキュリティ特集 第一回

IoT社会が進む中で、叫ばれているセキュリティの問題。IoTNEWSでは、国際政治(サイバー)研究家の足立照嘉氏が、様々な角度からセキュリティとサイバー攻撃に関して解説をしていく。

はじめに 足立氏より

日々メディアを賑わせるサイバー攻撃に関するニュース。
(私たちの立場としては、ようやく取り上げてもらえるようになったという思いもあります)

 「A社で1万人の個人情報が漏えいしました」
 「Bというソフトウェアに脆弱性が見つかりました」

これらは、多くの方が現実に起こっていることを知り、備えていくために重要な情報だ。
しかし、それだけでは推し量ることのできない思惑の向こう側にサイバー攻撃の実情がある。

私は、サイバーセキュリティ企業への投資や経営に参画することで、2017年1月現在34ヶ国の金融機関や通信会社をはじめとした企業や政府、研究機関などにその技術を提供することで、サイバー空間の現実を見続けている。

サイバーテロやサイバー犯罪など、サイバー空間の脅威は日々巧妙かつ大規模化してきており、このことをどこかでお聞きになられたことがある方もいらっしゃるかもしれない。

実際、私どもで運営するオペレーションセンターからもこのことを如実に表す変化を感じ取っている。攻撃元のロケーションは巧妙に偽装されており、真に正確なものだけではないにしても、「月金9時5時(月曜日から金曜日の、朝9時から夕方5時の間)」のタイムゾーンにあるロケーションからの攻撃が明確に多い現状が読み取れる。

この傾向はこの10年、特に顕著になってきており、それ以前は平日であれば深夜、もしくは休日に多く行われていたサイバー攻撃とは、全く逆のパターンを示しているのです。

つまり、このことは主に技術に対する探究心や自己顕示欲「など」を動機として、会社や学校から帰宅した後に愉快犯的に行われていたサイバー攻撃が、何者かの指示や依頼の元に金銭授受を伴った経済活動へと変遷してきているということを端的に物語っている。

当然、サイバー攻撃を行う時間帯の変化のみから、このような解を導き出すことは不可能だ。そこで、このコラムではサイバー攻撃とその周辺で起こっていることを通して技術論に終始することなく、徐々にサイバー空間の現実を解き明かしていきたい。

サイバー犯罪の代理人

2014年に米国では女子高生のPCカメラをハッキングし、覗き見をしていた10代の学生が逮捕された。

最近ではPCやスマホのカメラがハッキングされる事例も増えており、facebook社CEOのマーク・ザッカーバーグ氏のPCカメラにも目隠し用のテープが貼られているということが2016年には話題になった。

しかし、カメラの乗っ取りは覗き見だけが目的なのだろうか?

2016年10月に米国で、通販サイトのAmazonや、動画配信サイトのNetflixはじめ、Twitter、Spotify、PayPalなどのサービスが突如利用できなくなるという事件が発生した。

これは各社が利用しているDNSサービスを提供しているDyn(ダイン)という会社が、DDoS(ディードス)攻撃を受けたために、同社のサービスが停止してしまったことによるものであった。

この時のDDoS攻撃では、50万台の機器と数千万件のIPアドレスを用いることで、Dynのサーバにアクセスを集中させ、Dynのサーバをダウンさせたのだ。

この事件でのトラフィック量は公表されていないが、1ヶ月前に同樣の手口で被害を受けたブログサイトのKrebs on Securityでは620ギガビット/秒(Gbps)、仏ホスティング会社のOVHでは1テラビット/秒(Tbps/s)(=1000ギガビット/秒)のトラフィックがあったので、同程度かそれ以上の攻撃を受けたのではないかと言われている。

これまで史上最大のDDoS攻撃と言われていたものが300ギガビット/秒〜400ギガビット/秒であったことからも、今回の攻撃がどれだけ大規模なものであったかを感じることができると思う。

しかしながら、620ギガビット/秒や1テラビット/秒(=1000ギガビット/秒)と言われてもあまりピンとこない数字なので、何かと比較してみる。

2016年度の総務省の発表によると、モバイル端末による月間のダウンロードトラフィックが1.1テラビット/秒(=1100ギガビット/秒)とのことだ。

つまり、北海道から沖縄まで日本中の携帯電話で1ヶ月間にダウンロードされたトラフィックに匹敵する量のアクセスが、1社のサーバに6時間以上も集中したとイメージすると、どれだけ驚異的な出来事だったのか少しお分かりいただけるだろう。

サイバー犯罪の正体はIoTデバイス!?

では、Dyn社を襲った50万台の機器とは何だったのか?

これは、WEBカメラやネットワーク対応のビデオレコーダーなど50万台のIoT機器がボット化し、まるでゾンビ映画のように、乗っ取られたIoT機器が一斉に同社を襲ってきたのだ。

これらの乗っ取られたIoT機器はLinuxで動作するコンピュータに感染する「Mirai」というマルウェアによってボット化されていたのだ。

このマルウェアのソースコードは同年9月末に突如何者かによってソースコードが公開されたので、その仕組みを見てみる。

まず、このマルウェアではインターネットに接続されたIoT機器を探し出す。

次に、これらのIoT機器に対して複数のIDとパスワードの組み合わせを試行して侵入を試みる。

ここで驚くべきことは、このマルウェアに元々用意されていたIDとパスワードの組み合わせは、たった60パターンしかなかったということだ。

そして、この60パターンの内のいずれかの組み合わせであったが故に侵入を許し、乗っ取られてしまったIoT機器のなかの50万台が今回の事件では用いられてしまったのだ。

既に、世界中では130万台のIoT機器が乗っ取られているという研究者もいる。

そして、乗っ取られた膨大な数のIoT機器は、サイバー犯罪の代理人として、驚異の存在へと変わってしまったのだ。

2016年夏に開催されたリオ五輪では、開催の数ヶ月前からIoT機器のマルウェア感染が活発になりはじめ、会期中に発生した約540GbpsのDDoS攻撃もボット化されたIoT機器によるものだったと、米国のセキュリティ企業・アーバーネットワークス社が調査結果を報告している。

セキュリティ特集
第一回:サイバー犯罪の代理人 IoTデバイスが温床に?!
第二回:横行する”サービスとしての”サイバー犯罪(Cyber-crime as a Service)

Previous

パイオニアのクラウド型運行管理サービスを活用したコミュニティバス向けの位置情報通知システム、実証実験に採用

ハネウェル、日本航空へ年間2%の燃料費節約が見込める管理サービスを提供

Next