「IDDos」はIoT機器を使ったDDoS攻撃のこと。IoT DoS(Distributed Denial of Service)の略。インターネット上に多数存在するルーターや監視カメラ(Webカメラ)、デジタルビデオレコーダー(DVR)といったIoT機器を踏み台にして、攻撃対象のWebサイトなどに大量のデータ(パケット)を送信し、サービスを提供できないようにする。

 IDDoS攻撃の危険性は以前から指摘されていたが、その脅威が現実のものになったのは2016年になってからだ。2016年9月、著名なセキュリティジャーナリストであるBrian Krebs氏が運営するWebサイト「Krebs on Security」を、約620Gビット/秒のデータが襲ったのだ(関連記事:監視カメラから“史上最大級”のサイバー攻撃、IoTの危険な現状)。

 2016年10月にはDNSサービス大手の米Dynが同様の攻撃を受けて、同社のサービスを利用するTwitterやSpotify、Redditといった著名なネットサービスの一部が利用できなくなった(関連記事:DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン)。

 ネットにつながるIoT機器が急速に増えている中、2017年にIDDoSの脅威がますます増大することは想像に難くない。

TELNETでウイルスを送り込む

 IDDos攻撃では、攻撃者はまず、セキュリティの甘いIoT機器をウイルスに感染させて乗っ取る(関連記事:IoTウイルスの脅威)。ウイルスの感染にはTELNETを使う。TELNETはリモートアクセスの代表的なプロトコルだが、パスワードを暗号化しないで送るといったセキュリティ上の問題があるため、現在では使われないようになってきている。

 ところがIoT機器の中には、TELNETが知らないうちに有効になっているものがある。開発時に使われていたTELNETが有効なまま出荷されていると考えられる。現在では、誰でもアクセスできるTELNETが有効になっているのは脆弱性(セキュリティ上の問題)の一種といえる。攻撃者はその脆弱性を突いてIoT機器に侵入しウイルスに感染させる。

 感染したウイルスは、攻撃者が用意した制御サーバー(C&Cサーバー)にアクセスし、命令を待ち受ける。攻撃者が攻撃命令を出すと、指定されたIPアドレスのサーバーに対して大量のデータを送信して、そのサーバーやネットワーク回線をまひさせる。

 ウイルスに感染したパソコンで構成されるネットワーク「ボットネット」を使った一般的なDDoS攻撃と、IDDoS攻撃の手口は基本的には同じだ。異なるのは、攻撃のしやすさである。IDDoS攻撃のほうが容易に実施できる。というのも、インターネットに接続するパソコンやサーバーに比べて、IoT機器はセキュリティが甘いからだ。現状では、IoT機器の開発者やベンダーの一部は、セキュリティ意識がそれほど高くないように思える。外部からアクセス可能なTELNETを有効にしたまま出荷しているのがその一例だ。

 さらに、IoT機器の多くは常時稼働しているのでいつでも攻撃に悪用できる。また、帯域が比較的広い回線に接続されているケースが多いので、DDoS攻撃にはうってつけなのだ。

 今後も同様のIDDoS攻撃が相次ぐと予想される。IoT機器の開発者やベンダーには、この危険な現状を認識してもらいたい。そして、設計や実装に細心の注意を払い、IoT機器に脆弱性を含めないようにしてほしい。それが、最も効果的なIDDoS攻撃対策になる。