JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

IoT時代のセキュリティ① マルウェア"Mirai"の衝撃~前編

皆様、こんにちは。
今回より本コラムを担当させていただく鈴木盛正です。
本コラムでは、「IoT時代のセキュリティ」というテーマで、新しい時代の脅威や対策といった具体的な話から、画像解析、ドローン、FinTechなどいわゆる「Digital Transformation」時代とはいったい何ぞや?的な話まで、幅広いテーマを取り上げる予定です。

その視点ですが、筆者は根っからのITインフラ系エンジニアです。よって「C++の構文では云々」というプログラム視点での話は苦手ですので、ITインフラ寄りの、より普遍的かつリアルで具体的な視点で書いて参りたいと思っています。
また、話の内容が、技術的な話から業界動向的な話題まで幅広くなる予定ですので、本コラムをお読み頂く皆様へのガイドとして、各話毎、以下の四つのカテゴリのいづれかにフォーカスして述べて参りたいと思います。

脱線することも多々あるとは思いますが、何より楽しんでお読みいただければ、幸いです。

図1.png

さて、第1回は、昨年流行ったマルウェア『Mirai』についての話から始めようと思います。上記クォドラントでは第一象限の話になります。

何が起きたのか?

2016年末から世界的に感染が広がったマルウェアが『Mirai』(とその亜種)です。ハッカーズネットにソースコードを投稿した者が「Anna-senpai」。勝手に当て字をすると「杏奈先輩の未来」という、なんとも萌え~なネーミングですが、その影響は破壊的でした。

例えば、米国ではDNSサービス大手のDynが標的にされ、同サービスを利用していたTwitter、Spotify、Netflix、ウォールストリートジャーナルなどメジャーなWebサービスが一時的に利用できなくなりました。(IT media記事より ※1)
このDDoS攻撃の踏み台にされたデバイスの多くが、ネットワーク・カメラやその録画装置であるNVR(ネットワーク・ビデオ・レコーダ)だったため、ソースコードが公開されたこととあいまって、数千万台のデバイスが感染し、「過去最大級のDDoS攻撃」となりました。

感染したデバイスには、日本国内に設置されたデバイスも含まれていたことが判明しています。
世間の論調は、「やっぱり監視カメラは危ない」とか、「IoTヤバい」という感じでしたが、ただ“危ない” “やばい”と騒いでも何も事態は改善されないので、ここでは原因と対策、またその過程で見えてきたより根源的な課題について考察して参ります。

Mirai感染の仕組みと史上最大規模の攻撃に至った背景

図2.png
感染の仕組みは、2段階に分かれます。

まず、第一段階として、Miraiがもつパスワード辞書ファイルを元にroot特権のユーザでログインを試みます。この、“辞書ファイル”に載っていたユーザ名、パスワードの多くが、ネットワーク・カメラやNVRのものだったために、それらが感染先となりました。

例えば、「X社製カメラの場合、ユーザ名:root、パスワード:1234xyzがデフォルト」というのはちょっと調べれば判るので、それらを辞書ファイルとして組み込んだ訳です。

侵入に成功すると、第二段階として、機器に組み込まれてる“BusyBox”のディストリビューションを調べ、特定のディストリビューションだった場合に感染します。
“BusyBox”を簡単に言うと、組込機器用Linuxディストリビューションの一つで、「組込Linuxの十徳ナイフ」と言われるぐらい、あちこちで汎用的に使われています。
感染に成功すると、ボットネットを形成し、特定のサイトへのDDoS攻撃を行います。

つまり、爆発的な感染と史上最大規模のDDoS攻撃に至った理由は、次の2点です。
• ネットワーク・カメラやNVRといった、膨大な数のデバイスをターゲットしたこと。
• BusyBoxという、組込OSとして非常によく使われるOSをターゲットとしたこと。

対処

US-CERTなどからアナウンスされている暫定対処法=Mitigation(※2)は極めて単純です。

• 機器をネットワークから切り離す。
• 機器をコールドブート(電源OFF→ON)する。(2016年10月時点の情報では、Miraiは揮発性メモリに感染するため、コールドブートすれば消えるとされています。)
• デフォルトのパスワードを変更する。
• ネットワークに再接続

しかし、このきわめて単純な対策が、ユーザ側では実施できないデバイスがあることも発覚しています。ITmediaの記事(※3)によれば、とあるメーカ製機器では、デバイスのファームウェアにパスワードがハードコードされており、かつ、それを変更するためのインタフェースも備えていないため、ユーザ側でパスワードを変更することは不可能です。結果、その会社では、対象デバイスのリコールを表明しました。

「記事にあるメーカ製の監視カメラやNVRは使ってないから大丈夫」と思われた読者もいらっしゃると思います。しかし、この会社は、完成品のみならず、半製品(具体的にはボード)を数多くのカメラ、NVRベンダにも提供しているようで、これらの半製品を使っている製品も攻撃対象になりえると推察されます。これら半製品が組み込まれた機器をどうするのか、筆者が調べた限りでは不明です。

真の原因は何か?

さて、ここまでお読みいただいた読者の皆様からは、こんな声が聞こえてきそうです。
「そもそもデフォルトのパスワードを変更してないってどういうこと?設置したお前らベンダは何考えとるんじゃい!」と。

お叱り、ごもっともでございます。一個人としては、機器デフォルトのパスワードを変更しない、などということはなかったと記憶していますが、一業界人としては恥じ入るばかりです。
しかし、実はここに、IoT時代のセキュリティを考える上で重要なヒントが隠されていた、というのが筆者の見解です。

ということで、次回は、より深い原因とそこに至る歴史的背景について考察してみたいと思います。

筆者プロフィール
鈴木 盛正(すずき もりまさ)
1987年日本ディジタル・イクイップメント(日本DEC)からITキャリアをスタート。
一貫してITインフラストラクチャの設計・構築・運用のプロジェクトマネージャ、コンサルタントを務める。
現在、ジャパンシステムにて近未来新規ソリューションの開発を担当。


※1:ITmediaエンタープライズ 2016年10月26日
「DNSへの大規模DDoS攻撃、関与のIPアドレスは数千万と判明」

※2:US-CERT 2016年11月30日
「Alert (TA16-288A)
Heightened DDoS Threat Posed by Mirai and Other Botnets

※3:ITmediaエンタープライズ 2016年10月25日
「大規模DDoS攻撃は防犯カメラが踏み台に、中国メーカーがリコール表明」

Adobe® Reader®

PDFファイルの閲覧には、Adobe® Reader®が必要です。

Adobe® Reader®のダウンロード

お問い合わせ