IoT機器に感染したウイルスは、攻撃者の命令に従って様々な攻撃を仕掛ける。筆者らが確認した攻撃の一つは、「DNS水責め攻撃」と呼ばれる、DNSサーバーへのDDoS攻撃だ。
DNS水責め攻撃では、ウイルスは感染機器が接続するISP▼などのキャッシュDNSサーバー▼に対して、攻撃対象のドメインにランダムなサブドメインを追加したドメイン名を問い合わせる(図14)。
実在しないドメイン名なので、キャッシュDNSサーバーには保存されていない。そこでキャッシュDNSサーバーは、攻撃対象ドメインの権威DNSサーバー▼に問い合わせる。
ISPのキャッシュDNSサーバーには、ウイルスに感染した大量のIoT機器から、名前解決要求が次々と送られてくるので、通信回線やサーバーの処理能力といったリソースが枯渇する。それ以上に影響が深刻なのは権威DNSサーバーだ。世界各地のキャッシュDNSサーバーからの問い合わせが集中し、応答が遅延。最悪の場合、サーバーがダウンする。
なお筆者らは、外部からの通信は通すが、外部への通信は遮断する環境でIoTウイルスを実行して観測した。このため制御サーバーからの命令は受信できたが、名前解決要求は外部のDNSサーバーには送信されていない。
そのほかの攻撃としては、セットトップボックス▼からの認証情報の窃取が挙げられる(図15)。ある特定のセットトップボックスでは、有料放送を見るための認証情報が、設定ファイルに記載されていることが知られている。筆者らが観測したあるIoTウイルスは、この設定ファイルを取得し、外部に送信しようとした。
攻撃者が用意したWebサイトの広告をIoTウイルスにクリックさせて対価を得ようとするものもある。前述の感染拡大についても、複数のIoTウイルスで確認した。
Internet Service Providerの略。
▼キャッシュDNSサーバー
ユーザーからの問い合わせに答えるDNSサーバー。ユーザーの代わりに権威DNSサーバーに問い合わせて、回答内容を一定期間保存する。
▼権威DNSサーバー
ドメイン名に関する情報を持つDNSサーバー。問い合わせに対して回答する。「コンテンツサーバー」ともいう。
▼セットトップボックス
ここでは、有料テレビ放送の受信装置を指す。