IoTの支配を争う2つのボットネット

家電からクルマまで、さまざまな機器に通信機能をつけて便利にするモノのインターネット(IoT)。だがサイバー犯罪者にとっても格好の標的で、乗っ取って操ろうとする試みがあとを絶たない。最近は支配権をめぐって争いまで起きているようだ。

セキュリティ企業のシマンテックによると、争いはIoTを奴隷化して悪用するボットネットとして猛威を振るった「Mirai」の生き残りと、新たにあらわれた「Hajime」という類似のボットネットのあいだに起きている。

Miraiは感染したIoT機器の群を操り、ジャーナリストの公式サイトなどを閲覧不能にするDDoS攻撃をしかけて被害を出した。2016年9月には誰でも無料で利用できる「オープンソース」として技術情報の共有サイト「GitHub」に設計図にあたるソースコードが公開。多くのサイバー犯罪者が入手して参考に新たなボットネットを開発しているとうわさだ。

miraiのキャプチャ

Hajime は、2016年10月に研究者が発見した。Miraiと同じようにセキュリティの低いIoTを通じて拡散するが、Miraiと異なり司令塔となる「C&Cサーバー」を持たず、機器同士が1対1で伝言ゲームのように情報を伝達する「P2Pネットワーク」を採用している。

司令塔を潰せば止まる訳ではないので、より解体するのが難しくなっている。またHajimeはMiraiより発見もしづらい。いったんIoT機器に侵入すると、複数の手順を経て、何をしているかを隠す。

過去数カ月でHajimeは急速に拡散し、特にブラジルとイランで顕著。控え目に見積もっても数万の単位で機器に感染している。

Hajimeの拡散イメージ

HajimeはDDoS攻撃などの機能がなく、代わりにセキュリティの向上を呼びかけるメッセージを表示する。作者は善意のハッカー(White Hat)だとうたっている。実際にMiraiが狙う弱点を塞ぎ、一時的とはいえ防御を固めてくれる。

しかし、Hajimeは感染した機器に勝手に侵入できる独自のバックドア(裏口)を確保しており、あとから機能を追加することも可能。作者の気持ち次第で悪意あるボットネットに変身するのはたやすい。

ちなみに多くのIoT機器は再起動すると感染前の状態に戻るので、Hajimeは消えてなくなり、Miraiが侵入可能になる。

したがって標的になった機器は、あるときはMiraiのボットネットの一部になったかと思うと次に再起動したときには Hajimeのボットネットの一部になっている、といった症状を繰り返す。終わりのない陣取りゲームのようだ。もちろんほかのボットネットが襲ってくる場合もある。

根本の対策は機器本来の機能をつかさどるファームウエアを更新して、どんなボットネットの魔手にもかからないようにすることだ。

IoT機器を使う人はほかにも次のような自衛策をとるよう、シマンテックはうながしている。

・購入前に機器の特徴とセキュリティ機能を確かめる
・機器に初期設定してあるログイン情報は必ず変更する。推測しにくいパスワードを決め、ほかと使いまわさない
・Wi-Fiには比較的協力な暗号方式「WPA」を使う
・不要な機能やサービスは無効にしておく
・「Telnet ログイン」を無効にし、可能な限り「SSH」を利用する
・ルーターの「UPnP」機能は、どうしても必要な場合を除いて無効にする
・必要に応じて機器のプライバシー設定とセキュリティ設定を変更する
・必要なければ機器のリモートアクセスを無効にするか、保護する
・可能であれば無線接続ではなく有線接続を使う