最近注目され始めたIoT機器のセキュリティだが、研究者の間では以前から懸念されていた。IoTという言葉がまだ存在しなかった2010年には、不正アクセス可能な組み込み機器が、インターネットに多数接続していることが指摘されている。2012年には、世界中で約42万台のIoT機器にウイルスを感染させた「Carnaボットネット」が出現している。

 「ダークネット」の観測結果にもその兆候は表れていた。ダークネットとは、PCやIoT機器といったエンドポイントが接続されていない未割り当て(未使用)のIPアドレス帯のこと(図3上)。ダークネットにはエンドポイントが存在しないので、本来ならデータが送られてくることはない。

図3●「ダークネット」への怪しいTELNET通信が急増
ダークネットとは、未使用のIPアドレス群。ダークネットへの通信の多くはウイルスが送信している。情報通信研究機構(NICT)による観測では、2014年からTCP 23番への攻撃が急増している。攻撃元の9割がLinux系OSの機器。
[画像のクリックで拡大表示]

 しかし、PCやIoT機器に感染したウイルスや攻撃者は、割り当て済みかどうかにかかわらず、ランダムに選んだIPアドレスに、攻撃目的のデータを送信する。このためダークネットを監視していれば、ウイルスなどによる攻撃の有無を観測できる。ダークネットへの通信元は、ウイルス感染機器や攻撃者ということになる。

 ダークネットの監視は様々な組織が実施している。日本最大のダークネット監視システムは、情報通信研究機構(NICT)の「nicter」だ。30万個以上の未割り当てIPアドレスを持つ。筆者もNICTの研究に関わっている。

 nicterの観測結果を見ると、TCPの23番ポート、つまりTELNETサービスへの攻撃が、2014年以降急増していることが確認できる(図3下)。パケットの特徴を分析すると、攻撃の9割がLinux系OSを搭載した機器からであることもわかった。

 TELNETサービスへの攻撃が急増した結果、パケット数で見ると、ダークネットへの通信の6割以上を占めるようになった(図4)。攻撃元のホスト数で見ると、実に9割の攻撃元はTELNETサービスへデータを送っている。

図4●ダークネットへの通信の6割以上はTELNET
NICTの観測では、TCP 23番宛て、すなわちTELNETサービスを狙った通信が65%を占めた。通信元の数で見ると、9割がTELNETサービスに接続しようとしている。
[画像のクリックで拡大表示]
▼約42万台のIoT機器
そのほとんどは、初期設定のパスワードを使っている、あるいはパスワードを設定していないルーターだった。
▼NICT
National Institute of Information and Communications Technologyの略。
▼TCP
Transport Control Protocolの略。
▼TELNET
TELetype NETworkの略。リモート接続で使用するプロトコルの一つ。TCPの23番ポートを使用する。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら