Akamai Technologies ウェブセキュリティ担当バイスプレジデント Josh Shaul氏
「先日、IoT機器とAirbnbを踏み台にして宿泊施設から家財道具を盗む泥棒が現れた」――Akamai Technologiesのウェブセキュリティ担当バイスプレジデントを務めるJosh Shaul氏は、同社が5月23日に開いた2017年第1四半期のセキュリティレポート説明会の場でこんなエピソードを披露した。
IoTのセキュリティをめぐっては、2016年に出現したマルウェア「Mirai」に感染する大量の機器で構成されたボットネットによる大規模な分散型サービス妨害(DDoS)攻撃が大きな注目を集めた。こうしたマルウェアの多くは、IoT機器で初期設定されたままのパスワードなどを悪用して不正なログインを試みる。攻撃者は機器の乗っ取りに成功すると、遠隔操作によってサイバー攻撃を実行したり、他に機器に感染を広げたりする。
ただ、PCなどに比べて機器単体では処理能力に制約のあるIoT機器は、現状では実行可能な攻撃の種類が、DoSや感染の拡大といったものにとどまるとの見方もあった。Shaul氏によれば、IoT機器の悪用ではこうした攻撃に加えて、「なりすましログイン」によるサイバー犯罪にも利用され始めたという。
なりすましログインでは、フィッシングや不正アクセスなどの攻撃によって、アンダーグラウンドに大量に流出したIDやパスワードの組み合わせを犯罪者が利用し、正規のユーザーになりすましてウェブサービスなどにログインする。その後、サービスを悪用して金銭を獲得しようとする。
「なりすましログイン」攻撃の流れ
Akamaiの調査では、同社が処理するウェブトランザクションの約3割をなりすましログインが占め、成功確率は0.1%に達する。1日あたり40万のIPアドレスから167種類の攻撃キャンペーンが発生し、1つのIPアドレスから平均20回のなりすましログインが試行されている。
ところが、40万のIPアドレスの25%ではなりすましログインの試行が1回しか発生せず、70%はなりすましログインを1カ月のうち1日しか実行しないことが分かった。また、APIへの接続を試行する攻撃がウェブサイトに比べて3.7倍も多いことも判明した。
こうした傾向からShaul氏は、従来のPCボットネットに加えてIoTボットネットもなりすましログインに悪用されるようになったと解説する。
IoTボットネットは、マルウェアに感染した監視カメラやルータ、モデムといった機器で構成される。攻撃者は機器に残された脆弱性を突いてSSH経由でIoT機器を乗っ取り、IoT機器をプロキシサーバとして使いながら、ウェブサイトなどになりすましログインを行う。同社は、これを「SSHowDowN」攻撃と命名した。
「SSHowDowN」攻撃のイメージ
上述のエピソードでは、攻撃者が乗っ取りに成功したIoT機器を踏み台にし、正規ユーザーのIDとパスワードを使ってAirbnbにログインする。Airbnb上で利用者からの評価が高い施設を予約して実際に宿泊し、施設の調度品などを盗み出したという。「Airbnbでの評価が高い施設はサービスや設備も優れている。犯罪者はIoT機器やウェブサービスを悪用して金目のものを奪う泥棒だった」(Shaul氏)
SSHowDowNによる攻撃では、ファイアウォールなど伝統的なセキュリティ機器の検知を回避されてしまうといい、1つのIPアドレスから発生する不正アクセスの回数が少ないため、悪質なIPアドレスのブラックリストをもとに通信を遮断する対策も通用しなくなるという。Shaul氏は、将来的にIoT機器の利用やIPv6の普及が進めば、より大きな脅威になるだろうと指摘する。
IoT機器のセキュリティ対策では、まず初期設定のままのパスワードを変更して、乗っ取りがされにくいようにすることが推奨される。加えてShaul氏は、安全性を考慮した設計や脆弱性を容易かつ自動的に修正できる仕組みが必要だとし、ネットワーク側でも脅威の分析情報を利用して能動的に対処できる対策が求められると話す。
同社は、これまでIPアドレスのブラックリストやレピュテーション情報、不審なHTTP通信などをベースにサイバー攻撃対策を講じてきたが、近年では接続中のユーザーの挙動をから悪質な動きを検知して攻撃を防ぐ仕組みも導入しているという。
