最近注目され始めたIoT機器のセキュリティだが、研究者の間では以前から懸念されていた。IoTという言葉がまだ存在しなかった2010年には、不正アクセス可能な組み込み機器が、インターネットに多数接続していることが指摘されている。2012年には、世界中で約42万台のIoT機器にウイルスを感染させた「Carnaボットネット」が出現している。

 「ダークネット」の観測結果にもその兆候は表れていた。ダークネットとは、PCやIoT機器といったエンドポイントが接続されていない未割り当て(未使用)のIPアドレス帯のこと(図3上)。ダークネットにはエンドポイントが存在しないので、本来ならデータが送られてくることはない。

図3●「ダークネット」への怪しいTELNET通信が急増
図3●「ダークネット」への怪しいTELNET通信が急増
ダークネットとは、未使用のIPアドレス群。ダークネットへの通信の多くはウイルスが送信している。情報通信研究機構(NICT)による観測では、2014年からTCP 23番への攻撃が急増している。攻撃元の9割がLinux系OSの機器。
[画像のクリックで拡大表示]

 しかし、PCやIoT機器に感染したウイルスや攻撃者は、割り当て済みかどうかにかかわらず、ランダムに選んだIPアドレスに、攻撃目的のデータを送信する。このためダークネットを監視していれば、ウイルスなどによる攻撃の有無を観測できる。ダークネットへの通信元は、ウイルス感染機器や攻撃者ということになる。

 ダークネットの監視は様々な組織が実施している。日本最大のダークネット監視システムは、情報通信研究機構(NICT)の「nicter」だ。30万個以上の未割り当てIPアドレスを持つ。筆者もNICTの研究に関わっている。

 nicterの観測結果を見ると、TCPの23番ポート、つまりTELNETサービスへの攻撃が、2014年以降急増していることが確認できる(図3下)。パケットの特徴を分析すると、攻撃の9割がLinux系OSを搭載した機器からであることもわかった。

 TELNETサービスへの攻撃が急増した結果、パケット数で見ると、ダークネットへの通信の6割以上を占めるようになった(図4)。攻撃元のホスト数で見ると、実に9割の攻撃元はTELNETサービスへデータを送っている。

図4●ダークネットへの通信の6割以上はTELNET
図4●ダークネットへの通信の6割以上はTELNET
NICTの観測では、TCP 23番宛て、すなわちTELNETサービスを狙った通信が65%を占めた。通信元の数で見ると、9割がTELNETサービスに接続しようとしている。
[画像のクリックで拡大表示]
▼約42万台のIoT機器
そのほとんどは、初期設定のパスワードを使っている、あるいはパスワードを設定していないルーターだった。
▼NICT
National Institute of Information and Communications Technologyの略。
▼TCP
Transport Control Protocolの略。
▼TELNET
TELetype NETworkの略。リモート接続で使用するプロトコルの一つ。TCPの23番ポートを使用する。