トピックス 2021.05.28 IoTデバイスを標的にした「Mirai」の攻撃手口から対策まで徹底解説

その被害規模は大きく、約50万台の各種端末が乗っ取られたとされています。

日本においても、多数のユーザーに影響が出たこの攻撃、これまでにない特徴は、ルーターやWebカメラなどのIoT機器が乗っ取られているということです。

一度設定を終えれば、ほとんど触ることの無いこれら機器については、一般のユーザーにとって盲点であったともいえるでしょう。

この記事では、本格的なIoT時代を迎えるにあたって、脅威となる「Mirai」の攻撃手口とその対策について解説します。

「Mirai」はDDoS攻撃を行うマルウェアです。DDoS攻撃とはサーバーに対して意味をなさないリクエストを大量に送り付け、そのサーバーを機能停止に陥らせるものですが、これまでのDDoS攻撃とはけた違いにデータ通信量が多くて大規模なのが特徴です。

 「Mirai」はどのような手口で大規模な攻撃を行うのでしょうか。

実は「Mirai」のプログラムのソースコードは明らかになっており、どのように動作するのかが解析されています。

これまでよく知られている各種のコンピュータウイルスとは違う手法で、感染させたIoT機器が次の感染先を自動的に探してボットネットワークの自己増殖が起こるよう作られています。

詳しく見てみましょう。 

攻撃者は、いずれかの場所にあるC＆C（Command and Control）サーバーを操って、「Mirai」を操作しています。

「C&Cサーバー」とは、不正な目的で使用するためのサーバーで、外部からは、不正な目的で動作させるものであることがわからないように工夫されています。

もともと、軍隊のような命令系統が設定されており、部隊へ指令（command）を送り、制御（control）をするという軍事的概念が語源となっています。

このサーバーのドメインは偽装されるようプログラム上に書かれ、このサーバーの場所がどこにあるのかという追跡は極めて困難になるような仕組みになっています。

一番最初、攻撃者はあえて感染させたIoT機器を自分で用意したものと思われます。

感染したIoT機器には、ボットと呼ばれるプログラムがダウンロードされ実行されますが、これが攻撃の実行と共にIPアドレスをランダムに生成して新しい感染先を探す役割を担っています。

このとき、ルーターやWebカメラなどの設定用ページにあらかじめ設定された、よくあるIDやパスワード(“admin”や“root”)などを使い、アクセスに成功したら侵入します。

侵入に成功したら、まずは、ボットをダウンロードするように操ります。ダウンロードすればそのIPアドレスをレポートサーバーに送って登録します。

これで、感染した攻撃能力のあるIoT機器が出来上がります。

こうした過程は、外からは見えませんので、見張っていたとしても防ぐことはできません。完全に防ぐなら電源を切り、LANケーブルを抜くしかありません。

このようにして、ボットがダウンロードされたIoT機器は、人知れずどんどん増殖していきます。

この段階で感染した大量のIoT機器はネットワークを構成し、攻撃者の意のままに操れるようになっています。

攻撃者が、攻撃対象や攻撃の種類などパラメータを設定してC&Cサーバーを操作して攻撃を実行すると、C&Cサーバーに指定された無数のIoT機器からなるボットネットワークから、一斉にDDoS攻撃が実行されます。

特筆すべきなのは、「Mirai」はあらゆるIoT機器に対応しているということです。IoT機器のアーキテクチャは、メーカーによりけりであまり統一性がないにもかかわらず、あらゆるアーキテクチャに対応しており、攻撃の例外になる機器があまりありません。こうしたことも被害が大きくなった原因と考えられます。

実は、「Mirai」のソースコード中には、顧客管理や入金管理などのプログラムも入っていました。犯人は、レポートサーバーに登録された感染したボットのネットワークを金銭で売買していたことがこれから分かったのです。

プログラムの中には、ユーザーごとに利用できるボットの数の上限や、攻撃間隔の制限、アカウントの有効期限などを扱うように書かれた部分があり、金銭を支払った時間などもC＆Cサーバーのデータベース上に書きこまれて保存されていると思しき部分がありました。

 これはどういうことを意味するかというと、サイバー攻撃をする動機と金さえあれば、ITの知識や技術が無くても、大規模なサイバー犯罪の実行が可能になっているということです。

サイバー攻撃手段が金銭でやり取りされている実態があるとすれば、なんとも恐ろしいことです。

このように恐ろしい「Mirai」ですが、我々はどのようにしてこれら攻撃を防御したらよいのでしょうか。ソースコードの解析から次のような対策が浮かび上がってきています。

ルーターなどのIoT機器は、購入して設定し設置したらそれ以降内部の設定にアクセスする機会はあまりありません。ルーターの設定用ユーザインタフェースはたいていWebページになっており、これにログインするためのIDとパスワードが設定されています。

初期状態で「ID：admin」「パスワード：root」などというのが、よくある組み合わせですが、「Mirai」はおおむねこんなことだろうというIDとパスワードの組み合わせのリスト、「ID：root」「パスワード：12345」などのようなものを多数用意しており、このような脆弱性を狙ってきています。

ルーターをリセットして初期状態に戻し、初期状態からの設定しなおしを実行しましょう。IDとパスワードは「Mirai」やその亜種からはもちろん、そもそも他人から推測されにくいものに変えるべきです。

比較的古いIoT機器の中には、セキュリティ対策が十分でない機器があります。

ユーザー側の操作を簡単にするためにIDやパスワードを固定にしているものがあったり、ID、パスワードの入力の際、不正アクセスを疑わず、何度でもリトライできるものがあったりします。

こうした事態に対処するため、メーカー側でも随時ファームウェアの更新が行われています。

しかしながら、ファームウェアの更新はユーザーが自ら操作して行わねばならない場合が多く、ITに詳しくない人にとってはハードルが少し高いのですが、詳しい人に聞くなどしてファームウェアを最新のものに更新しておくべきです。

何ともショッキングなことですが、今この瞬間にも自分の会社や自宅のルーターなどが「Mirai」のボットに感染しているのかもしれません。

パソコンであればウイルスチェックなどのソフトがありますがIoT機器の場合はなかなかチェックのしようがありません。

「Mirai」によって既にボットを感染させられているIoT機器は数十万にも及ぶと言われていますが、ネットから切断して電源を切ればいったんはクリアされます。

そこで、IDとパスワードを複雑で推測されにくいものに変えて、再起動すれば、ひとまずは安心といえます。

IoT時代の新しいセキュリティ対策は機器のリセットとパスワードの再設定です。基本的なこの対策、ぜひとも実行をお勧めいたします。

【関連リンク】

顕在化したIoTのセキュリティ脅威とその対策～脅威分析と対策検討、脆弱性対策の重要性～（IPA独立行政法人情報処理推進機構）
https://www.ipa.go.jp/files/000059579.pdf

 「Mirai」ソースコード徹底解剖－その仕組みと対策を探る（ITmedia）
https://www.atmarkit.co.jp/ait/articles/1611/08/news028.html

 IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策（ITmedia）
https://techfactory.itmedia.co.jp/tf/articles/1704/13/news010.html

IoTを狙うMiraiボットネットとDDoS攻撃の緩和（NETSCOUT）
https://jp.arbornetworks.com/iot%E3%82%92%E7%8B%99%E3%81%86mirai%E3%83%9C%E3%83%83%E3%83%88%E3%83%8D%E3%83%83%E3%83%88%E3%81%A8DDoS%E6%94%BB%E6%92%83%E3%81%AE%E7%B7%A9%E5%92%8C/

TEXT：セキュリティ通信 編集部
PHOTO：iStock