FortiGuard Labs脅威テレメトリ - IoT脅威のまとめと2015年/2016年の比較


IoTメーカーがデバイスを保護できなければ、
デジタルエコノミーは甚大な影響を受ける可能性があります。

IoTデバイスを狙った攻撃やIoTデバイスを踏み台に仕掛けられた攻撃は、2016年第4四半期に向けてメディアを賑わせるようになりました。セキュリティ保護されていないIoTデバイスは、サイバー攻撃者にとって簡単に手に入る格好の標的です。さらに一部のデバイスは、標的型DDoS攻撃を仕掛けるボットネットとして悪用されています。

たとえば、悪名高いMiraiボットネットは、IPカメラや家庭用ルーターなどのIoTデバイスに存在するログイン認証に関する脆弱性を利用して、過去最大規模のDDoS攻撃を引き起こしました。このようなIoTデバイスは、DDoS攻撃だけでなく、私生活ののぞき見やIoTデバイスを人質にした身代金の要求、さらにはデバイスが接続されているネットワークに深く侵入するためのピボットポイントとして悪用される恐れがあります。

このブログでは、FortiGuard Labsが収集したIoT脅威テレメトリデータから興味深いデータをいくつか取り上げ、検証結果を連載でご紹介します。

テレメトリデータを分析した結果、特定の攻撃ベクトルが急増している一方で、他の攻撃ベクトルには減少が見られました。さらに細かく分析したところ、今後も対象を非常に絞り込んだ攻撃が続くと予測されます。その1つの例が、既存の脆弱性を悪用し、家庭用ルーターとIPカメラを標的にした攻撃の急増です。このタイプの攻撃が着実に増加している背景には、メーカーの対応が遅く、問題を修正するパッチやアップデートがなかなかリリースされないという状況があります。

脆弱性のいくつかはファームウェア内に存在しているため、複数のメーカーが提供する何千ものデバイスが脆弱性を抱えていることになります。このようなデバイスはアップデート機能を備えていないため、パッチの作成や配信は極めて難しくなります。手動でのアップデートは不可能に近く、大量のデバイスが自動更新されることはほとんどありません。

現在発生しているIoTデバイスを狙った攻撃では、デフォルトのユーザー名とパスワード、ハードコードされたバックドアなど、既知の脆弱性が悪用されています。デフォルトパスワードは非常に簡単な侵入方法ですが、これ以外にもさまざまな方法があります。IoTデバイスの接続や通信に適用されているコーディングプラクティスの弱点を突くのも、こういった方法の1つです。

IoTデバイスを取り巻く状況は深刻です。IoTメーカーはこれまで、脆弱なデバイスを大量に市場提供してきました。単純なセキュリティ侵害に加えて、膨大な数のIoTデバイスが無効または使用不能に陥る可能性があり、ヘルプデスクに問い合わせが殺到しています。

IoTデバイスが示すリスクモデルで対処すべき課題は、影響の大きさです。インターネット接続された歯ブラシにハッキングするサイバー犯罪者の目的は、歯磨きの頻度に関する情報ではありません。歯ブラシが、ホームネットワークや携帯電話に接続されているとしたらどうでしょう。さらに、ホームネットワークから企業ネットワークへの接続が可能だとすれば、消費者向けIoTデバイスの脆弱性が大きな影響を及ぼすことは間違いありません。

そして、IoTデバイスが商用、産業用、医療用であれば、被害はさらに大きくなります。計測器、ポンプ、メーター、産業用制御システム、在庫管理、自動製造フロアなど、多種多様なIoTデバイスが無数に設置されています。特に、相互接続されたビルやスマートシティなど、クリティカルなインフラストラクチャやハイパー接続環境にこのようなIoTデバイスを接続すれば、深刻な影響が発生する恐れがあります。

IoTメーカーがデバイスを保護できなければ、デジタルエコノミーは甚大な影響を受ける可能性があります。クリティカルなサービスが中断する危険が高い場合、それを知った消費者はデバイスを買い控えるようになるからです。脆弱なIoTデバイスの急増を背景に、IoTを狙った攻撃は今後も増加すると予測されます。また、IoTを介した通信やデータ収集チェーンの弱点を巧妙に突く攻撃が登場すると考えられます。

次のグラフでは、2015年と2016年に発生したIoTのIPSシグネチャヒット数について、フォーティネットが収集したデータを比較しています。

このグラフでは、次のような収集データが使用されています。

  • 既知のIoT脆弱性と攻撃対象に関して、IPSシグネチャの攻撃情報を収集
  • IoTデバイスのタイプごとにデータを分類
  • グローバル規模でテレメトリデータを収集
  • 2015年と2016年のデータを収集
  • X軸は、最小値と最大値に大きな差があるため、10を底とする対数を使用


図1:グローバル規模でのIoT IPSシグネチャヒット数(デバイスタイプ別)- 2015年

上のグラフから、2015年にIoT IPSシグネチャヒットが最も多く発生したのは家庭用ルーターであり、82万件に近いことがわかります。これに、IPカメラ、電話システム、NAS(ネットワーク接続ストレージ)システムが続きます。一方で、DVR/NVR(デジタル/ネットワークビデオレコーダー)、スマートTV、プリンターでは、シグネチャヒット数が比較的少なくなっています。

次のグラフは、地域(北米/南米、EMEA、APAC)ごとの内訳を示しています。


図2:北米/南米でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年


図3:EMEAでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年


図4:APACでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年

同じIoTデバイスについて、2016年に発生したIPSシグネチャヒットのデータを次に示します。


図5:グローバル規模でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年

2016年も、IPSシグネチャヒット数が最も多かったのは家庭用ルーターでした。ところが、ヒット数は3,000倍以上と驚異的に増加しており、250億件を超えています。また、DVR/NVRでもヒット数は2,000倍以上増えているのに対して、スマートTVはほぼ3倍です。さらに興味深いことに、NASシステム、IPカメラ、電話システム、プリンターについては、1.5~10分の1と大幅な低下がみられます。

次のグラフは、2016年の地域(北米/南米、EMEA、APAC)ごとの内訳を示しています。


図6:北米/南米でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年


図7:EMEAでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年


図8:APACでのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2016年

2015年と2016年のデータを並べてみると、どのIoTデバイスのヒット数が急増したのかがよくわかります。


図9:グローバル規模でのIoT IPSシグネチャヒット数(デバイスタイプ別) - 2015年と2016年の比較

上記のグラフは、IoTデバイスを狙った通常の脅威トラフィックの増減を示したものであり、2016年9月に発生した悪名高いMiraiによるボットネット攻撃のデータは反映されていません。Miraiボットネットテレメトリが及ぼした影響については、別の記事で解説する予定です。

上記では2015年と2016年を比較しましたが、IoTデバイスの中でも特に家庭用ルーターをターゲットにした攻撃が急増したのはなぜでしょうか。ルーターの導入数が増えたからでしょうか。それとも、新たな攻撃手法や脆弱性が原因なのでしょうか。

詳しくは、次のブログ記事で解説しますので、お楽しみに。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。