マルウエアに感染しているIoT(インターネット・オブ・シングズ)機器が多数存在することが明らかになっている。当研究室がハニーポットで観測した結果、X86以外の多様なCPUにマルウエアが感染、その9割が未知だった。

 IoT(インターネット・オブ・シングズ)へのサイバー攻撃が現実の脅威となっている。様々な報道や研究によって、IoT機器がサイバー攻撃の脅威にさらされていることが明らかになっている。

 インターネット上には既にマルウエアに感染しているIoTデバイスが数多く存在するとみられる。サイバー攻撃の観測・分析を研究している横浜国立大学大学院環境情報研究院/先端科学高等研究院の吉岡研究室では、IoT機器に対するサイバー攻撃の実態を定量的に把握するため、観測を実施した。

 2015年頭から試験観測を実施し、2015年4月に本格的な観測へ移行した。観測結果は論文にまとめ、2015年8月に米ワシントンDCで開催されたサイバーセキュリティの国際会議「USENIX WOOT2015」で発表した。本連載は、その発表内容に最新の観測結果を加え、3回にわたって解説する。

4カ月で15万台から攻撃を受ける

 観測システムに対するマルウエアの感染試行回数は、2015年4~7月の4カ月間で90万回に達した。攻撃してきたマルウエア感染機器・システムはIPアドレスベースで約15万台あった。パケットの送出パターンから判断すると、この15万台の機器のほとんどは非PCだった。

 送信元機器を具体的に調査したところ、DVR(デジタルビデオレコーダー)やルーター、監視カメラなどの応答が確認され、これらの機器がマルウエアに感染し攻撃をしていると分かった。中にはセキュリティアプライアンス自体が感染して、攻撃をしてきた例もあった。

Telnetサービスが元凶

 このように大量のIoT機器がマルウエアに感染している理由はいろいろあるが、一番大きいのはTelnetサービスの稼働である。Telnetとは、IPネットワークで遠隔地にある機器にアクセスし各種の処理を行う通信プロトコルだ。30年以上前に規定された規格なので、通信は暗号化されておらず、認証もIDとパスワードだけ。現在の水準から見ると、とうていセキュアとは言えない。このためTelnetサービスはインターネットで通信する機器ではオフにしておくのが現在の一般的な考え方である。

 ところが観測してみると、グローバルIPアドレスを持ち、誰からもアクセスできるIoT機器の多くでTelnetサービスが動いている。しかもそれらのID/パスワードはデフォルト設定のまま、または変更されていても、IDが「root」でパスワードが「12345」といった具合に非常に弱いケースが多い。

 つまり高度なスキルを持つハッカーでなくても、IoT機器にログインでき、管理者権限でその機器を操作できてしまう(図1)。さらにIoT機器のデフォルトのIDとパスワードの組み合わせは、10~20パターン程度でそれほど多くないので、辞書攻撃をかけられたら、あっという間に破られてしまう。

図1 マルウエアがTelnetサービスにリモートログインするイメージ
IoT機器のデフォルトのIDとパスワードは10~20パターンしかない
[画像のクリックで拡大表示]

次ページ以降は日経 xTECH Active会員(無料)の方のみお読みいただけます。