昨年末から年初にかけて冷蔵庫やテレビなどスマート家電やホームルータ、マルチメディアセンターから大量のスパムメールが発信されたことをメディアの報道で知り、びっくりした人もたくさんいるだろう。

まだセキュリティ対策の手薄な「物のインターネット」(IoT:Internet of Things)を狙ったサイバー犯罪が、今後増えるかもしれない。

ところで、米国 Symantec の公式 Blog によると、これらの一連のスパム攻撃は、冷蔵庫などの IoT デバイスから送信されたものではないことが明らかになったそうだ。

同社では、これらのスパムメールが、Windows PC の感染による典型的なボットネットによって送信されていることを突き止めた。

Symantec が、エンドポイントセキュリティ製品、スパムを受信するハニーポット、スパム始動コマンドを待ち受けるボットネットハニーポットなどのソースからスパムを追跡したところ、複数の Windows PC に辿り着いた。その一部は「W32.Waledac」(Kelihos)に感染していた。このスパムは、今までに Windows 以外のコンピュータシステムから発信された例はなく、また、使途不明の大量スパムが他のソースから発信されていることも確認されていない。

ところで、冷蔵庫が悪質化してスパムの送信を始めた、という誤った結論はどこから導き出されたのだろうか。

家庭用デバイスの多くはホームルータの内側に置かれ、ネットワークアドレス変換(NAT)を利用している。ルータの内側にあるデバイスはすべて同じ IP アドレスを共有しているため、ネットワークトラフィックの本来のソースが、ルータの内側にあるデバイスなのか、またはルータ自体なのかを判断するのは難しい。

しかも、ルータで開いているポートを調べる場合、ルータがポート転送を採用していると、ルータの内側にある1つ、あるいは複数のデバイスが公開されることがある。たとえば、外出中にテレビ番組を録画できるように、インターネットを介してデジタルビデオレコーダーにアクセスする用途など、家庭用デバイスにリモートアクセスができるように、ルータ上でポート転送が有効になっている場合、公開されたデバイスだけがその IP アドレスを使っている唯一のデバイスだと思われてしまう恐れがある。


「物のインターネット」では冷蔵庫の冤罪やワーム戦争勃発もありうる
見た目と実際は同じではない

今回の場合、マルウェアに感染したコンピュータは、エンターテインメントシステムや冷蔵庫のような他の家庭用デバイスと同様、ホームルータの内側にあった。感染した PC がボットコントローラから新しいスパムテンプレートを受け取ると、スパムはルータを通過し、特定の IP アドレスから送られたように見える。その IP アドレスを調べると、感染した PC には到達せず、ルータに辿り着く。

また、冷蔵庫がポート転送機能を使っていて、誰かがポート 80 で IP アドレスに接続する場合、そのトラフィックはスマート冷蔵庫に到達できる。外部から見えているのは冷蔵庫だけで、ルータや感染した PC などの他のデバイスが、ルータの内側に存在するのに気付かないかもしれない。

事実は、冷蔵庫が、感染した PC とたまたま同じネットワーク上にあったに過ぎない。

Symantec は、今回は冷蔵庫は無実だったが、IoT デバイスからのスパム送信がありえないわけではない、とコメントしている。

同社は最近、IoT に対する初の脅威「Linux.Darlloz」を発見している。Linux.Darlloz は、ルータ、カメラ、エンターテインメントシステムなど Linux ベースの IoT デバイスに感染する。Darlloz はまた、IoT デバイスに感染するだけでなく、「Linux.Aidra」という別の脅威との間でワーム戦争を巻き起こしているそうだ。Darlloz は、デバイスが Aidra に感染しているかどうかを確認し、感染している場合には、そのデバイスから Aidra を削除する。

ワーム作成者が IoT の縄張りをめぐって争っているのが確認された、初めての例だそうだ。