文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    「IoT乗っ取り」攻撃でツイッターなどがダウン

     日本時間の10月22日早朝にツイッターやアマゾンなどの大手ネットサービスが世界的に5時間に渡って接続しにくくなった。攻撃元はネット接続された監視カメラ、デジタルビデオレコーダーなどの「IoT(モノのインターネット)」だったことがわかっている。(ITジャーナリスト・三上洋)

    監視カメラなどを踏み台に大規模サイバー攻撃

    • 監視カメラ、デジタルビデオレコーダーなどの機器が乗っ取られてサイバー攻撃に利用された(乗っ取られた機器を販売している中国Xiongmai Technology社のウェブサイト)
      監視カメラ、デジタルビデオレコーダーなどの機器が乗っ取られてサイバー攻撃に利用された(乗っ取られた機器を販売している中国Xiongmai Technology社のウェブサイト)

     今回被害に遭ったのは、ツイッター、アマゾンのほかに、音楽配信のスポティファイ(Spotify)、動画配信のネットフリックス(Netflix)などで、5時間に渡って接続しにくくなるトラブルが発生した。

     原因は監視カメラ、デジタルビデオレコーダーなどの無人機器が乗っ取られ、大量のデータを送りつけたためと推測されている。いわゆるIoT(Internet of Things=モノのインターネット)が踏み台として使われた大規模サイバー攻撃だ。

     なぜこんな事態になったのか、順を追って見ていこう。

    ●ネットの根幹「DNS」がダウンした

     ツイッターなどの大手ネットサービスが同時にダウンした理由は、インターネットの根幹とも言える「DNS(ドメインネームシステム)」がダウンしたためだった。DNSとは、URLアドレスの名前(ホスト名)と、実際に接続するサーバーのアドレスを変換するシステムのこと。DNSを提供しているアメリカのダイン(Dyn:ダイナミック・ネットワーク・サービシズ)社が、大規模なサイバー攻撃を受けてダウンした。それにより、ダイン社を利用していたツイッター、アマゾンなどが接続しにくくなった。

    ●大量のデータを送りつける「DDoS攻撃」

     ダイン社のDNSが落ちた理由は、大量のデータを送りつけて接続しにくくする「DDoS攻撃(分散サービス拒否攻撃)」を受けたからだ。ダイン社の発表によれば、「Mirai(ミライ)」と呼ばれるマルウェアに感染した端末、10万台以上から攻撃を受けたとのこと。ダイン社のDNSは、Miraiに感染した端末をネットワーク化したボットネット(攻撃者からの指令で動くネットワークのこと)から攻撃を受けている。以上の経緯は、ダイン社のホームページによって明らかになった(Dyn Analysis Summary Of Friday October 21 Attack:Dyn社英語記事)

    ●監視カメラなどを乗っ取るマルウェア

     Miraiはデジタルビデオレコーダー、監視カメラ、ウェブカメラ、ルーターなどを狙うマルウェアだ。いわゆるIoTを狙う不正プログラムである。攻撃者はこれらの無人機器を乗っ取り、遠隔操作でダイン社に大量のデータを送りつけてダウンさせている。

     つまり企業や家庭で使われている監視カメラ、ウェブカメラ、ビデオレコーダーが乗っ取られ、ネットの根幹となるDNSを攻撃し、その結果としてツイッターやアマゾンがダウンしたことになる。IoTによる史上最大の攻撃と言ってもいいだろう。

    狙ったのはIoTの初期パスワード

    • 中国Xiongmai Technology社の声明。不正アクセスによってDDoS攻撃に利用されたことを認めてリコールを発表している
      中国Xiongmai Technology社の声明。不正アクセスによってDDoS攻撃に利用されたことを認めてリコールを発表している

     原因はマルウェアMiraiだったわけだが、このMiraiは9月から大規模サイバー攻撃に利用されていた。もっとも大きな攻撃は、アメリカのセキュリティージャーナリスト、ブライアン・クレブス氏のウェブサイトを狙ったものだった。

     9月20日に、クレブス氏のウェブサイトが大規模なDDoS攻撃を受けてダウンした。この模様はセキュリティー情報サイト「THE ZERO/ONE」が「ブライアン・クレブスを襲った史上最大級のDDoS攻撃」というシリーズ記事で詳しくまとめている(ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (4)Akamaiが匙をなげるまでの2週間:江添佳代子氏)。

     それによると620Gbpsものスピードでデータが送りつけられ、サイトがダウンしたとのこと。おおむね1秒間に80Gバイト弱のデータが送りつけられる状態で、前代未聞の規模のDDoS攻撃だったことになる。そこで使われていたマルウェア・Miraiが、今回の攻撃でも使われたのだ。

     このMiraiは、9月下旬にプログラムの元であるソースコードが公開されている。そのため亜種が登場すること、大規模な攻撃が起きることが予想されていて、予想が現実になってしまった。

     MiraiはIoT機器の初期パスワードを狙って乗っ取ろうとする。今回の事件概要をQ&A方式でまとめたシマンテックの記事によれば、少なくとも62のIDとパスワードの組み合わせを試して乗っ取るとのこと。監視カメラやデジタルビデオレコーダーで初期パスワードのままにしている機器を狙っている(Mirai: what you need to know about the botnet behind recent major DDoS attacks:シマンテック英語ブログ)。

     被害に遭ったクレブス氏によれば、攻撃の踏み台として使われたIoT機器は、主に中国メーカーが販売・提供しているデジタルビデオレコーダーや監視カメラではないかとのこと(IoT Device Maker Vows Product Recall, Legal Action Against Western Accusers:ブライアン・クレブス氏の英語ブログ)。

     この中国メーカーは、監視カメラユニット、デジタルビデオレコーダーユニットなどを販売しているXM(Xiongmai Technology)社で、今回の事件について中国語で声明を出した。それによるとXM社の機器が不正侵入され、DDoS攻撃の踏み台として使われたことを認めてリコールを発表している(Xiongmai Technology社の中国語による声明)。

     なお、クレブス氏は、アメリカのセキュリティー会社「フラッシュポイント社(FlashPoint)」の「ユーザーが変更できないIDとパスワードが狙われた」とのコメントを引用した上で、コマンド形式で外部からアクセスできるtelnet(テルネット)のアクセスが可能で、そのパスワードは機器のチップに記録されているため変更できないとしている。

     それに対して中国のXM社は、2015年4月のアップグレードによってtelnetは利用できなくしていると反論している。どちらが正しいのか現時点ではわからないが、もし「ユーザーが変更できないパスワード」がハードウェアに埋め込まれていて、かつ外部からの操作が可能だとすれば、今後も攻撃者によって悪用される可能性がある。

    セキュリティーを想定しない無人機器が利用される

     今回の事件についてセキュリティー大手・シマンテックの浜田譲治氏に話をうかがった。浜田氏はまず「DNSへの集中攻撃で、多くのネットサービスが遮断されてしまった。DNSに対するこれほど大規模な攻撃は初めてではないか」と述べた。

     さらにIoT機器が踏み台に使われたことについては「最近までIoT機器が攻撃側になるという事態はあまり想定されておらず、多くのIoT機器はセキュリティーを意識せずに作られている。唯一あるセキュリティーはパスワードだが、それも単純だったり、初期設定のままにしている場合が多い」として、IoT機器のセキュリティーの甘さが問題だとした。

     今後はどうなるのだろうか。浜田氏によれば「監視カメラ、デジタルビデオレコーダーなどは無人で動いているため、利用者は攻撃側になっているとは気づかない。放置したままの人が多いため、パスワードが変更されず、アップグレードもしないものが多数残るだろう。そのため今後も踏み台として使われる危険性があり、IoT経由の攻撃がさらに続きそうだ」と述べた。

     特に今回のIoT機器は、ユニットとして販売されているものなので、リコールで切り替わるには時間がかかると思われる。IoTを経由したサイバー攻撃は、今後も続く可能性が高い。

     わたしたち一般ユーザーも注意すべき点がある。それはインターネット接続に使っているルーターだ。ルーターのソフトウェアが古いと攻撃されて乗っ取られる可能性もある。自分のルーターの情報をウェブで検索し、最新バージョンになっているか確かめておきたい。

     また、監視カメラ、デジタルビデオレコーダーなどを使っている企業は、パスワードをチェックすること。パスワードが初期設定のままだと乗っ取られる可能性があるので、必ず変更しておきたい。監視カメラ、デジタルビデオレコーダー、IPカメラの開発会社は、自社製品で該当するユニットを使っていないか確認し、使っている場合は早く対処する必要がある。

    ●参考記事

    ・監視カメラ覗き見? パスワード未設定が原因か:サイバー護身術

    ・不正ログインでアイドル被害~PW管理のコツは?:サイバー護身術

    ・Mirai: what you need to know about the botnet behind recent major DDoS attacks:シマンテック英語ブログ

    2016年10月28日 19時35分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP