2019-6-25.1510.<2016年9月、著名なセキュリティ情報ブログ「Krebs on Security」が、大量のパケットを送り込むことでサービスをダウンさせる、いわゆる「DDoS攻撃(Distributed Denial of Service attack)」の被害に遭い、サーバがダウンしました。問題はその攻撃の規模で、同サイトに向けて665Gbpsもの帯域がDDoS攻撃に使われたとみられており、これは当時史上最大規模のものでした。 この665Gbpsものトラフィックをどのように作ったのでしょうか。実はその攻撃は、ルーターやWebカメラなどのネットワーク接続機能を備えた機器(ここでは、これらを含めた機器を「IoTデバイス」と定義します)をターゲットにしたマルウェア「Mirai(ミライ)」によるものだと考えられています。この攻撃とほぼ同時期に、フランスのホスティングサービス「OVH」に対しても、ピーク時に1Tbpsを超えるDDoS攻撃が観測されており、大規模攻撃を可能とする「ボットネット」の登場が注目されました。そして、2016年10月にMiraiのソースコードがインターネット上の掲示板サイトに公開されたことで、その手口が明らかとなりました。今回はこのマルウェア、Miraiが引き起こしたインシデント内容とそのソースコードから、IoTデバイスの開発などに携わるエンジニアやベンダーが考えるべきポイントを探ります。Miraiを紹介する前に、まずはボットネットとは何かを学びましょう。ボットネットは、多数の攻撃可能な機器が、攻撃対象のサーバへ一斉に通信を行い、サーバ負荷をかけるという攻撃アプローチをとります。Webブラウザの「F5アタック」のようなイメージですね。 ここでいう“攻撃可能な機器”とは、マルウェアに感染した一般のPC端末であることが多く、「C&C(コマンド&コントロール)」と呼ばれる管理端末を操作することで、マルウェアに感染した機器が一斉にターゲットに対して攻撃を仕掛けます。これを利用することで、ある攻撃対象サーバに特定のパケットを大量に送り付け、攻撃対象サーバの負荷を増大させてリソースを枯渇させることで、サービスを正常に提供できない状態に陥れます。 なぜこのような仕組みを作るのでしょうか。実は、このボットネットはブラックマーケット(闇市場)で売れるのです。サイバー犯罪者はマルウェアを多数の機器に感染させて、それらをボット化して、ボットの集合体であるボットネットのコントロール権を利用者に対して時間貸しで販売するのです。これにより、サイバー犯罪者は金銭を得ることができ、利用者は自分たちに技術力がなくてもあるターゲットに対してサイバー攻撃を仕掛けることができるのです。ボットネットはブラックマーケットで販売されるだけでなく、「負荷テストツール」という表現で堂々と提供されている場合もあります。このように、犯罪者が金銭目的でボットを作成し、それを簡単に利用できることでエコシステムが出来上がっているのです。 Miraiはそのボットネットを構成するマルウェアで、C&Cサーバ機能、クライアント機能が備わっていました。そして、ボット化の対象がLinuxで動作するIoTデバイスであったことが大きな特徴で、それが今回のような大規模なボットネットを構成し、史上まれに見る規模の攻撃が成立しました。出典:2017年04月13日 09時00分 公開、[宮田健,TechFactory] https://techfactory.itmedia.co.jp/tf/articles/1704/13/news010.html
2019-6-25.1510.<2016年9月、著名なセキュリティ情報ブログ「Krebs on Security」が、大量のパケットを送り込むことでサービスをダウンさせる、いわゆる「DDoS攻撃(Distributed Denial of Service attack)」の被害に遭い、サーバがダウンしました。問題はその攻撃の規模で、同サイトに向けて665Gbpsもの帯域がDDoS攻撃に使われたとみられており、これは当時史上最大規模のものでした。 この665Gbpsものトラフィックをどのように作ったのでしょうか。実はその攻撃は、ルーターやWebカメラなどのネットワーク接続機能を備えた機器(ここでは、これらを含めた機器を「IoTデバイス」と定義します)をターゲットにしたマルウェア「Mirai(ミライ)」によるものだと考えられています。この攻撃とほぼ同時期に、フランスのホスティングサービス「OVH」に対しても、ピーク時に1Tbpsを超えるDDoS攻撃が観測されており、大規模攻撃を可能とする「ボットネット」の登場が注目されました。そして、2016年10月にMiraiのソースコードがインターネット上の掲示板サイトに公開されたことで、その手口が明らかとなりました。今回はこのマルウェア、Miraiが引き起こしたインシデント内容とそのソースコードから、IoTデバイスの開発などに携わるエンジニアやベンダーが考えるべきポイントを探ります。Miraiを紹介する前に、まずはボットネットとは何かを学びましょう。ボットネットは、多数の攻撃可能な機器が、攻撃対象のサーバへ一斉に通信を行い、サーバ負荷をかけるという攻撃アプローチをとります。Webブラウザの「F5アタック」のようなイメージですね。 ここでいう“攻撃可能な機器”とは、マルウェアに感染した一般のPC端末であることが多く、「C&C(コマンド&コントロール)」と呼ばれる管理端末を操作することで、マルウェアに感染した機器が一斉にターゲットに対して攻撃を仕掛けます。これを利用することで、ある攻撃対象サーバに特定のパケットを大量に送り付け、攻撃対象サーバの負荷を増大させてリソースを枯渇させることで、サービスを正常に提供できない状態に陥れます。 なぜこのような仕組みを作るのでしょうか。実は、このボットネットはブラックマーケット(闇市場)で売れるのです。サイバー犯罪者はマルウェアを多数の機器に感染させて、それらをボット化して、ボットの集合体であるボットネットのコントロール権を利用者に対して時間貸しで販売するのです。これにより、サイバー犯罪者は金銭を得ることができ、利用者は自分たちに技術力がなくてもあるターゲットに対してサイバー攻撃を仕掛けることができるのです。ボットネットはブラックマーケットで販売されるだけでなく、「負荷テストツール」という表現で堂々と提供されている場合もあります。このように、犯罪者が金銭目的でボットを作成し、それを簡単に利用できることでエコシステムが出来上がっているのです。 Miraiはそのボットネットを構成するマルウェアで、C&Cサーバ機能、クライアント機能が備わっていました。そして、ボット化の対象がLinuxで動作するIoTデバイスであったことが大きな特徴で、それが今回のような大規模なボットネットを構成し、史上まれに見る規模の攻撃が成立しました。出典:2017年04月13日 09時00分 公開、[宮田健,TechFactory] https://techfactory.itmedia.co.jp/tf/articles/1704/13/news010.html
2019-6-25.1018.<公助>。<太田智晴【(Business Network編集部】Q3.総務省では具体的にどんな取り組みをされているのか、まずはIoTセキュリティに関して教えてください? A3. 竹内【総務省 サイバーセキュリティ統括官】 総務省は2017年10月、「IoTセキュリティ総合対策」を取りまとめ、5本柱の政策に取り組んでいます。そのうちの1つがIoTデバイスの脆弱性調査及び注意喚起を行うプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」」で今年2月20日に開始しました。(注1)。近年、攻撃者がマルウェア,(注2),を使ってIoTデバイスを乗っ取って実行されるサイバー攻撃が、深刻な脅威になっています。3年前には「Mirai」というマルウェアが10万台以上のIoTデバイスを乗っ取ってDNS( Domain Name System)サーバーに対して大規模なDDoS攻撃(Distributed Denial of Service attack)を実施し、アメリカの大手企業のWebサイトが長時間にわたってアクセスできなくなるという大きな被害を受けました。Miraiに乗っ取られたIoTデバイスは、出荷時のID/パスワードのまま運用されていたと言われています。そこでNOTICEでは、ID/パスワードがデフォルトの設定のままになっているデバイスを実際に調査し、パスワード変更等の対策が必要なデバイスのユーザーに対して、ISP (Internet Services Provider)を介して注意喚起を実施します。出典:太田智晴(Business Network編集部) 2019.06.17 https://businessnetwork.jp/tabid/65/artid/6793/page/1/Default.aspx
(注1) IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施。出典:http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html
(注2)マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。出典:https://www.jnsa.org/ikusei/03/08-01.html
2019-6-25.539.<公助>。<太田智晴【(Business Network編集部】Q2.そうした問題意識の中、政府はどういう体制で、サイバーセキュリティに取り組んでいるのでしょうか?A2.竹内【総務省 サイバーセキュリティ統括官】 まず、内閣官房長官が本部長を務める「サイバーセキュリティ戦略本部」があります。政府が指定する重要インフラ14分野を所管する5省庁の大臣や民間有識者などで構成され、ここで政府全体としての大きな戦略を作っています。そして、その下に設置されているのが「内閣サイバーセキュリティセンター(NISC)」です。NISCでは、全体戦略に基づいて各省庁が実施する個々の施策の取りまとめを行っています。こうした体制の中、総務省も「情報通信」と「地方公共団体」を担当する省として重要な役割を担っています。総務省は昨年7月、サイバーセキュリティ統括官という組織を新たに作り、その下に1名の審議官と3名の参事官を置いて、サイバーセキュリティ政策の立案・実行に取り組んでいます。出典:太田智晴(Business Network編集部) 2019.06.17 https://businessnetwork.jp/tabid/65/artid/6793/page/1/Default.aspx
2019-6-25.699.<公助>。<太田智晴【(Business Network編集部】Q1.IoT/5G時代、サイバーセキュリティの重要性はますます高まりますが、どのような問題意識をお持ちですか?。A1.竹内【総務省 サイバーセキュリティ統括官】 一番重要な問題は、サイバーセキュリティ対策に関して、企業経営層の“横並び”意識が強いことです。「やむを得ない費用」と捉えられがちであり、「投資」としての対策がなかなかできていません。サイバーセキュリティ対策の“出発点”として、経営層のマインドセットを変えていく必要があると思っています。一方、中小企業や地方の企業・組織になると、“思い”はあっても、人材不足などを理由にサイバーセキュリティ対策をしっかり実行できていない面もあります。そのサポート体制をどうするかも大きな課題です。また、IoT/5G時代になると、さらに多くの企業がIoTデバイスを活用した事業展開を進めていくことになりますが、現状ではセキュリティ機能のないIoTデバイスが運用されている例も多く見受けられます。一般のユーザーや利用企業が、セキュリティ機能のない、または不十分なIoTデバイスのメンテナンスをしていくことは困難です。このため、設計段階からセキュリティ機能を埋め込む「セキュリティ・バイ・デザイン」の考え方で開発されたIoTデバイスを普及させていくという発想が、これからは非常に大事になってきます。出典:太田智晴(Business Network編集部) 2019.06.17 https://businessnetwork.jp/tabid/65/artid/6793/page/1/Default.aspx