IoT機器に感染したウイルスは、攻撃者の命令に従って様々な攻撃を仕掛ける。筆者らが確認した攻撃の一つは、「DNS水責め攻撃」と呼ばれる、DNSサーバーへのDDoS攻撃だ。

 DNS水責め攻撃では、ウイルスは感染機器が接続するISPなどのキャッシュDNSサーバーに対して、攻撃対象のドメインにランダムなサブドメインを追加したドメイン名を問い合わせる(図14)。

図14●IoTウイルスがDNSサーバーを“水責め”
図14●IoTウイルスがDNSサーバーを“水責め”
筆者らが確認したIoTウイルスによる「DNS水責め攻撃」の例。DNSサーバーへのDDoS攻撃の一種。ウイルスは、実在しないサブドメインを含むドメイン名の名前解決要求を大量に送信する。すると、ISPのキャッシュDNSサーバーやそのドメインの権威DNSサーバーに負荷がかかり、サービスを提供できなくなる。
[画像のクリックで拡大表示]

 実在しないドメイン名なので、キャッシュDNSサーバーには保存されていない。そこでキャッシュDNSサーバーは、攻撃対象ドメインの権威DNSサーバーに問い合わせる。

 ISPのキャッシュDNSサーバーには、ウイルスに感染した大量のIoT機器から、名前解決要求が次々と送られてくるので、通信回線やサーバーの処理能力といったリソースが枯渇する。それ以上に影響が深刻なのは権威DNSサーバーだ。世界各地のキャッシュDNSサーバーからの問い合わせが集中し、応答が遅延。最悪の場合、サーバーがダウンする。

 なお筆者らは、外部からの通信は通すが、外部への通信は遮断する環境でIoTウイルスを実行して観測した。このため制御サーバーからの命令は受信できたが、名前解決要求は外部のDNSサーバーには送信されていない。

 そのほかの攻撃としては、セットトップボックスからの認証情報の窃取が挙げられる(図15)。ある特定のセットトップボックスでは、有料放送を見るための認証情報が、設定ファイルに記載されていることが知られている。筆者らが観測したあるIoTウイルスは、この設定ファイルを取得し、外部に送信しようとした。

図15●IoTウイルスが仕掛ける様々な攻撃
図15●IoTウイルスが仕掛ける様々な攻撃
DNS水責め攻撃以外にも様々な攻撃を仕掛ける。他の機器への感染拡大に加え、Webサイトの広告の不正クリックやセットトップボックスからの認証情報の窃取など、金銭に直接関わる攻撃も確認している。
[画像のクリックで拡大表示]

 攻撃者が用意したWebサイトの広告をIoTウイルスにクリックさせて対価を得ようとするものもある。前述の感染拡大についても、複数のIoTウイルスで確認した。

▼ISP
Internet Service Providerの略。
▼キャッシュDNSサーバー
ユーザーからの問い合わせに答えるDNSサーバー。ユーザーの代わりに権威DNSサーバーに問い合わせて、回答内容を一定期間保存する。
▼権威DNSサーバー
ドメイン名に関する情報を持つDNSサーバー。問い合わせに対して回答する。「コンテンツサーバー」ともいう。
▼セットトップボックス
ここでは、有料テレビ放送の受信装置を指す。