IoT機器を狙うウイルスが多数出回っている。最近では、2016年9月に大きな被害をもたらした「Mirai」ウイルスが記憶に新しい。2017年3月には、Miraiと同じように感染を広げる「BrickerBot」ウイルスが確認された。BrickerBotの目的は、Miraiとは大きく異なるという。「インターネットの化学療法」が目的だというのだ。
狙われるLinux搭載IoT機器
Miraiの目的は、インターネット上に多数存在するIoT機器の乗っ取りだ。IoT機器を乗っ取り、DDoS攻撃などの踏み台にする。例えば、著名なセキュリティジャーナリストBrian Krebs氏が運営するWebサイトを狙ったDDoS攻撃では、通信量は最大で600Gビット/秒以上に達したという。
Miraiは、Linuxが動作するIoT機器に感染する。具体的には、監視カメラやビデオレコーダー、セットトップボックス、ルーターなどに感染する。
IoT機器への感染にはTELNETを使う。外部からアクセス可能なTELNETサービスを動かしている脆弱な機器に接続し、ウイルスが内部的に持っているユーザーIDとパスワードの辞書を使ってログインを試みる。
辞書に記載されているのは、代表的なIoT機器にあらかじめ設定されている初期ユーザーID/パスワード。初期ユーザーID/パスワードの多くはインターネット上で公開されているので、誰でも入手可能だ。
ログインできたウイルスは、LinuxのOSコマンドを使ってウイルスプログラムを攻撃者のWebサイトなどからダウンロードして実行する。すなわち、その機器にウイルスを感染させる。感染したウイルスは攻撃者からの命令を待ち受け、指示に従ってDDoS攻撃などを実施する。
IoT機器を破壊するウイルス登場
IoT機器を狙ったウイルスの危険性は以前から懸念されていたが、Miraiによって現実のものであることが示された。Miraiの衝撃からおよそ半年が経過した2017年3月。Miraiと同じ手口で感染を広げる新しいウイルスが出現した。
BrickerBotと名付けられた新しいウイルスは、感染してからの挙動がMiraiとは全く異なる。IoT機器のストレージにランダムなデータを上書きするとともに、ネットワーク設定などをすべて変更し、IoT機器を使用不能にする。実質、IoT機器を破壊するといってよいだろう。感染対象機器を永続的に使えなくするとして、セキュリティベンダーのいくつかは、このようなウイルスの攻撃を「PDoS(Permanent Denial of Service)」と呼んでいる。
