IoTを使って宿泊施設で泥棒も--DDoSから広がるサイバー犯罪の手口

國谷武史 (編集部) 2017年05月24日 07時30分

  • このエントリーをはてなブックマークに追加
Akamai
Akamai Technologies ウェブセキュリティ担当バイスプレジデント Josh Shaul氏

 「先日、IoT機器とAirbnbを踏み台にして宿泊施設から家財道具を盗む泥棒が現れた」――Akamai Technologiesのウェブセキュリティ担当バイスプレジデントを務めるJosh Shaul氏は、同社が5月23日に開いた2017年第1四半期のセキュリティレポート説明会の場でこんなエピソードを披露した。

 IoTのセキュリティをめぐっては、2016年に出現したマルウェア「Mirai」に感染する大量の機器で構成されたボットネットによる大規模な分散型サービス妨害(DDoS)攻撃が大きな注目を集めた。こうしたマルウェアの多くは、IoT機器で初期設定されたままのパスワードなどを悪用して不正なログインを試みる。攻撃者は機器の乗っ取りに成功すると、遠隔操作によってサイバー攻撃を実行したり、他に機器に感染を広げたりする。

 ただ、PCなどに比べて機器単体では処理能力に制約のあるIoT機器は、現状では実行可能な攻撃の種類が、DoSや感染の拡大といったものにとどまるとの見方もあった。Shaul氏によれば、IoT機器の悪用ではこうした攻撃に加えて、「なりすましログイン」によるサイバー犯罪にも利用され始めたという。

 なりすましログインでは、フィッシングや不正アクセスなどの攻撃によって、アンダーグラウンドに大量に流出したIDやパスワードの組み合わせを犯罪者が利用し、正規のユーザーになりすましてウェブサービスなどにログインする。その後、サービスを悪用して金銭を獲得しようとする。

「なりすましログイン」攻撃の流れ''
「なりすましログイン」攻撃の流れ

 Akamaiの調査では、同社が処理するウェブトランザクションの約3割をなりすましログインが占め、成功確率は0.1%に達する。1日あたり40万のIPアドレスから167種類の攻撃キャンペーンが発生し、1つのIPアドレスから平均20回のなりすましログインが試行されている。

 ところが、40万のIPアドレスの25%ではなりすましログインの試行が1回しか発生せず、70%はなりすましログインを1カ月のうち1日しか実行しないことが分かった。また、APIへの接続を試行する攻撃がウェブサイトに比べて3.7倍も多いことも判明した。

 こうした傾向からShaul氏は、従来のPCボットネットに加えてIoTボットネットもなりすましログインに悪用されるようになったと解説する。

 IoTボットネットは、マルウェアに感染した監視カメラやルータ、モデムといった機器で構成される。攻撃者は機器に残された脆弱性を突いてSSH経由でIoT機器を乗っ取り、IoT機器をプロキシサーバとして使いながら、ウェブサイトなどになりすましログインを行う。同社は、これを「SSHowDowN」攻撃と命名した。

「SSHowDowN」攻撃のイメージ''
「SSHowDowN」攻撃のイメージ

 上述のエピソードでは、攻撃者が乗っ取りに成功したIoT機器を踏み台にし、正規ユーザーのIDとパスワードを使ってAirbnbにログインする。Airbnb上で利用者からの評価が高い施設を予約して実際に宿泊し、施設の調度品などを盗み出したという。「Airbnbでの評価が高い施設はサービスや設備も優れている。犯罪者はIoT機器やウェブサービスを悪用して金目のものを奪う泥棒だった」(Shaul氏)

 SSHowDowNによる攻撃では、ファイアウォールなど伝統的なセキュリティ機器の検知を回避されてしまうといい、1つのIPアドレスから発生する不正アクセスの回数が少ないため、悪質なIPアドレスのブラックリストをもとに通信を遮断する対策も通用しなくなるという。Shaul氏は、将来的にIoT機器の利用やIPv6の普及が進めば、より大きな脅威になるだろうと指摘する。

 IoT機器のセキュリティ対策では、まず初期設定のままのパスワードを変更して、乗っ取りがされにくいようにすることが推奨される。加えてShaul氏は、安全性を考慮した設計や脆弱性を容易かつ自動的に修正できる仕組みが必要だとし、ネットワーク側でも脅威の分析情報を利用して能動的に対処できる対策が求められると話す。

 同社は、これまでIPアドレスのブラックリストやレピュテーション情報、不審なHTTP通信などをベースにサイバー攻撃対策を講じてきたが、近年では接続中のユーザーの挙動をから悪質な動きを検知して攻撃を防ぐ仕組みも導入しているという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算