コンテンツ・デリバリー・ネットワーク(CDN)サービスを提供するアカマイ・テクノロジーズは2017年5月23日、「2017年のセキュリティ記者説明会」を開催し、最新の攻撃動向と不正アクセスの脅威対策について解説した。

IoTデバイスがなりすまし攻撃に悪用

 「IoT(インターネット・オブ・シングズ)デバイスを悪用する『なりすまし攻撃』の脅威が高まっている。ログインしようとするものが、人間なのかボットなのかを見分けるテクノロジーが求められている」。アカマイ・テクノロジーズ Web Security担当バイスプレジデント ジョシュ・シャオル氏はこう指摘する。

アカマイ・テクノロジーズ Web Security担当バイスプレジデントのジョシュ・シャオル氏
アカマイ・テクノロジーズ Web Security担当バイスプレジデントのジョシュ・シャオル氏
[画像のクリックで拡大表示]

 なりすまし攻撃とは他人のIDとパスワードを取得した第三者が、その情報を悪用して行う攻撃である。アカマイの顧客を対象とした独自調査によると、ログインしようという行動のうち、「約30%がなりすまし攻撃によるものだった」という。シャオル氏は「我々の予想をはるかに超える悪い結果で、なりすまし攻撃を無視できない状況にある」と表現した。

 調査からは「一日平均40万のIPアドレスが使われ、167のアタックキャンペーンが仕掛けられている」ことや、「キャンペーンでは平均して5000のIPアドレス、10万の電子メールアカウントが使われる。最も規模の大きいものでは20万のIPアドレス、2500万の電子メールアカウントに達していた」ことも明らかになった。ただし一つのIPアドレスが攻撃に使われる頻度は、多くの攻撃で1日当たり1回から数回と少ない。つまり多くのデバイスを分散させて利用することで、巨大な規模の攻撃を実現していたわけである。

IoTデバイスをボットとして利用するSSHowDowN

 なぜこれだけの規模のデバイスを利用して、攻撃が可能なのか。アカマイがさらに調査を続けると、監視ビデオ、衛星アンテナ機器、ルーターをはじめとするネットワーク機器など、インターネットにつながるIoTデバイスが利用されている実態が見えてきたという。

 攻撃者はIoTデバイスのプロキシモードと脆弱性を利用することで、SSHでデバイスにアクセスし、トンネリングを使ってターゲットに対して攻撃を実行していた。アカマイはこの手法を「SSHowDowN」と命名している。

 シャオル氏は「SSHトンネルを張ったあとは簡単にターゲットを攻撃できる。アタッカーのIPアドレスも隠蔽されるので、トラッキングも難しくなる」と説明。さらに、「脆弱性を抱えるデバイスは世界中に存在するうえ、IoTの流れもあり数は増えている。今後、大規模な攻撃が簡単に発生する可能性が高まっている」と危険性を訴えた。そして、「SSHowDowNのリスクは、大規模な攻撃に使われるだけに限らない。企業や組織のネットワーク、ファイアウオールの内部への侵入にも悪用される」と続けた。