筆者らは、国内に設置したハニーポットを使って、IoTウイルスに感染した機器を特定して調査した。その結果、特定できたのは全体の3分の1程度で、機器の種類としては約60種類だった。最も多かったのはDVR(デジタルビデオレコーダー)だった(図9)。
図9●ハニーポットで観測した感染機器の種類
ハニーポットにログイン試行したIPアドレスにアクセスして、その応答から機器を特定した。特定できた機器の種類は約60。そのうち、アクセスの多い上位8種類の機器をまとめた。ベンダーが使っている製品名の表記をそのまま使って整理している。カッコ内の日本語名は編集部で追記した。
[画像のクリックで拡大表示]
なお、機器のほとんどが海外製なので、具体的にどういった機能を持つのかまで調べるのは難しかった。このため、ベンダーが使っている製品名の表記をそのまま使って整理している。例えば、「IP Camera」と「Web Camera」は同じような機能を備えると考えられるが、ベンダーの表記に従って、異なる種類として整理した。
次に、ハニーポットによる観測で明らかになった、IoTウイルスの詳細な挙動を、順を追って見ていこう。まず、TELNETが稼働するハニーポットにアクセスしたIoTウイルスは、ユーザーIDとパスワードを送信してログインしようとする。
初期パスワードでログイン試行
そのユーザーID/パスワードを収集して調べたところ、ほとんどが、IoT機器に設定されている初期ユーザーID/パスワードであることが判明した(図10)。IoTウイルスは初期ユーザーID/パスワードの辞書をプログラム内に持っていて、それらを使ってログイン試行すると考えられる。
図10●IoTウイルスは初期設定のパスワードを使う
IoTウイルスは、工場出荷時にIoT機器に設定されている初期ユーザーID/パスワードの辞書(リスト)を持っている。それらを使って不正ログインを試みる。
[画像のクリックで拡大表示]
実際、2016年9月のDDoS攻撃に使われたMiraiウイルスのソースコードには、広く使われているIoT機器の初期ユーザーID/パスワードが60組含まれていた。
