Miraiの亜種が続々登場「IoTマルウェア」の脅威：5分で分かる最新キーワード解説（2/4 ページ）

[土肥正弘，ドキュメント工房]

IoTマルウェアの恐ろしさは何か

　Miraiには、古典的なDDoS攻撃の手法であるSYN FloodやUDP Flood、ACK Flood、HTTP Floodなどの他、特定のゲームエンジンに向けたUDP Flood、GREプロトコルを利用した攻撃手法、攻撃対象のランダムなサブドメインに対するDNS問い合わせを低頻度（DNSサーバの規制を避けるため）に送る「DNS水責め攻撃」手法などの機能が搭載されている。

　こうした手法は、PCのボットネットでは有効に機能させにくい。そもそもセキュリティ対策が進んで感染を広げにくいため、IPアドレスを詐称して実行する「増幅」や「反射」と呼ばれる手法を使って少ない攻撃パケットを巧みに大規模な攻撃につなげる方法がとられるようになっているのだが、IoT機器を踏み台とする場合には、IPアドレス詐称の必要もなく、シンプルな手法でも大量のトラフィック発生が可能なため、PCを利用する場合よりもコストを抑えて有効な攻撃が行えるのだ。

　また、DDoS攻撃への対策として攻撃指令サーバを特定し、そこへの接続を遮断する方法がよくとられる。ボットの存在はさておき、指令が効かない状態にすれば被害は生じないというわけだ。しかし、Miraiの場合は感染力を持つボット自身が指令サーバ機能を持っており、機能を担える能力を持つ機器ならどれでも指令サーバに仕立てることができるため、特定が困難だ。

　さらに、亜種には偽ドメインを自分自身で作り出すものもあり、指令サーバを自動探索してアクセスする機能を持つボットも存在している。こうした機能を使用すると、セキュリティベンダーや公的機関によるネットワーク監視の網をすりぬけることができ、不正ドメインのブラックリストやレピュテーションデータベースが役に立たなくなってしまう。

　企業内のPCやサーバなら、UTMなどのゲートウェイセキュリティ機器やウイルス対策を始めとするエンドポイントセキュリティソフトなどを利用して感染を予防することがある程度はできるが、IoT機器の全てに同様の対策を施すことは困難で、中には対策がそもそも不可能な機器もある。また、ユーザー側のIoT機器に対するセキュリティ対策意識は薄く、購入時のまま適切な設定をしていない場合が多い。それが大量のIoT機器が感染してしまう原因になっている。

IoTマルウェアによる被害を防ぐ方法は？

　では、IoTマルウェアによる被害を防ぐにはどうすれば良いだろう。被害には2つある。1つはDDoS攻撃のターゲットとなった場合、もう1つは攻撃の踏み台となった場合だ。

　前者の場合は、攻撃が行われていても正当なサービスを十分に提供できるだけのリソースを確保することだけが現実的に有効な唯一の予防対策となるだろう。ただし、数百GbpsというDDoS攻撃に耐えられるリソース増強は、攻撃対象となる可能性と勘案すれば、まず自社で賄うにはコスト面で割に合わない。

　CDN網を利用してトラフィックを分散することで被害を避けるソリューションがネットワーク業者から提供されており、それを利用する手はある。ただし、その場合も記録的なトラフィック量にまで耐えられるとは限らず、コスト面での問題も出てくる可能性がある。

　後者の場合は、攻撃の踏み台となることで意図せずに攻撃に加担することになるのが問題だ。攻撃された側では攻撃の踏み台なのか真犯人なのかは判断できないので、当然疑いの目が向くことになる。企業システムの場合なら、セキュリティ対策の不備が疑われ、ひいてはブランドに傷がつくことにもなる。社会的、道義的責任を意識するなら、踏み台となることはできるだけ避けなければならない。しかし、そのための現実的な方法は限られている。