インターネットにつながる監視カメラやデジタルビデオレコーダー(DVR)、ルーターといったIoT機器に感染するウイルス(マルウエア)が大きな脅威になっている。セキュリティの甘いIoT機器に感染を広げるとともに、サイバー攻撃を実施する。ネットワーク管理者は対策が急務だ。そこで本記事では、IoTウイルスの現状や感染メカニズム、対策について解説する。

DDoS攻撃による被害相次ぐ

 IoTウイルスが感染するのは、IoT機器の中でも、Linuxが動作する組み込み機器である(図1)。攻撃者がインターネット経由で制御サーバーに命令を送信すると、IoTウイルスはその命令に従って動作する。具体的には、別の機器に感染を広げたり、機器に保存されている情報を盗んだりする。様々なサイバー攻撃の踏み台にもなる。特に懸念されているのが、DDoS攻撃だ。ウイルスに感染した大量のIoT機器が、特定のサーバーに一斉にデータを送信し、そのサーバーがサービスを提供できないようにする。

図1●IoTウイルスの概要
図1●IoTウイルスの概要
インターネットにつながったLinuxベースの組み込み機器に感染する「IoTウイルス」(IoTマルウエア)が猛威を振るい始めた。IoTウイルスは、インターネット経由で別の機器に感染を広げるとともに、感染機器を乗っ取り、攻撃者の命令に従って動作する。
[画像のクリックで拡大表示]

 実際、被害が相次いでいる。2016年9月20日、著名なセキュリティジャーナリストであるBrian Krebs氏が運営するWebサイト「Krebs on Security」をDDoS攻撃が襲った(図2左)。通信量は約620Gビット/秒に達したという。攻撃を受けた時点では攻撃元の詳細は不明だったが、その後明らかになった。攻撃に使われたとみられるウイルスのソースコードがインターネットで公開されたためだ。ウイルスの名前は「Mirai」。ウイルスの作者を名乗る人物の書き込みによれば、Miraiに感染した約18万台のIoT機器を使って、Krebs on SecurityにDDoS攻撃を仕掛けたという。

図2●18万台のウイルス感染機器が一斉に攻撃
図2●18万台のウイルス感染機器が一斉に攻撃
2016年9月20日、著名なセキュリティジャーナリストのWebサイト「Krebs on Security」を約620Gビット/秒のDDoS攻撃が襲った。IoTウイルスに感染した約18万台の機器が攻撃元とされる(左)。10月21日にはDNSサービス大手の米Dynが同様のDDoS攻撃を受け、一時的にサービスを提供できない状態になった(右)。
[画像のクリックで拡大表示]

 9月22日には、フランスのホスティング事業者OVHもDDoS攻撃を受けた。同社の創業者でCTO(最高技術責任者)であるOctave Klaba氏がTwitterで報告した。

▼IoT
Internet of Thingsの略。
▼ウイルス
ここでは、悪質なプログラム全般を指す。マルウエアと同義。
▼制御サーバー
C&C(Command and Control)サーバーとも呼ぶ。
▼DDoS攻撃
DDoSはDistributed Denial of Serviceの略。分散サービス妨害攻撃などと訳す。攻撃対象に大量のデータを送信し、正常なサービスを提供できなくする。