コンプライアンス
P2Pを利用するIoTボットネットの脅威動向を予測
本ブログ記事では、P2Pボットネットがもたらす影響について解説すると共に、サイバー犯罪者が今後どのような攻撃活動を実施するかの動向予測についてもお伝えします。
モノのインターネット(IoT)は、ボットネット開発を試みるサイバー犯罪者の新たな攻撃領域となっています。サイバー犯罪者はボット型マルウェアによる永続的な感染活動にユーザが対処する間も、ボットネットの維持・拡大のためにデバイスの制御権を奪い合っています。しかし、IoT機器で構成されたボットネットに多くのユーザが利用するファイル共有技術「P2P(Peer-to-Peer)」ネットワークが加わると問題はさらに複雑化します。
典型的なIoTボットネットは遠隔操作サーバ(C&Cサーバ)と接続された数多くの感染デバイス(ボット)で構成されており、サイバー犯罪者はそれらのC&Cサーバを通じてボットネット全体を運用管理しています。つまり運用元であるC&Cサーバをテイクダウンすれば、ボットネットがどれだけ多くの感染デバイスで構成されていてもIoTボットネットを無害化することができます。ところがIoTボットネットにP2Pネットワークが導入されると、この方法では対処ができなくなります。
P2Pネットワークが加わることで、中核を担うC&Cサーバを介さずにコンピュータ同士での相互接続が可能になります。これは事実上、P2Pボットネットをテイクダウンする際に防御側で感染デバイスを個別にクリーンアップしなければならなくなることを意味します。ボットネットは何千ものデバイスを利用することで知られています。これらの感染デバイスすべてに対処するにはかなりの手間を要するため、P2Pボットネットを完全にクリーンアップするのはほぼ不可能な作業と言えます。
トレンドマイクロの技術解説では、これまでに活動が確認されたP2Pボットネットを構築するマルウェアファミリ5種について解説し、P2Pネットワークがマルウェアに感染するペースをWindowsおよびIoT機器の環境間で比較しました。本ブログ記事では、P2Pボットネットがもたらす影響について解説すると共に、サイバー犯罪者が今後どのような攻撃活動を実施するかの動向予測についてもお伝えします。
■P2PのIoTボットネットがもたらす影響と今後の動向予測
P2P技術を悪用するボット型マルウェアファミリは、ボットネットの長期的な維持に適しているにも関わらず、なぜ5種しか存在していないのか疑問に思われるかもしれません。IoTボットネットの本当の目的は何なのか、少し分析してみましょう。
P2Pボットネットの動向を予測するには、収益化のモデルを理解することが重要です。サイバー犯罪者はより複雑なボットネットを開発・実装し続けるため、それらに費やした時間や労力から金銭を得る方法を見出す必要があります。今日のIoTボットネットを見ると、この脅威を利用して収益化する一般的な方法はDDoS攻撃(Distributed Denial of Service, 分散型サービス拒否)の代行サービスやVPNまたはプロキシ接続をサービス化して販売するなどが挙げられます。
今後、サイバー犯罪者はP2Pボットネットにおける活動領域を拡大するために、感染ルータからより効率的に利益を得る方法を見つけ出す必要があります。これからサイバー犯罪者は、感染ルータを単にインターネット接続機器として利用するのではなく、感染ルータが構築するネットワークを利用して金銭的利益を得ることに重点を置いていくとトレンドマイクロは推測しています。
ルータを感染させて別の攻撃を実行する
IoTボットネットの主な標的は家庭用ルータです。家庭用ルータが狙われる理由は、家庭内ネットワークへの侵入口として好都合な点にあります。サイバー犯罪者は家庭用ルータをマルウェアに感染させることで、中間者(MitM)攻撃や情報詐取など、より利益が見込める攻撃活動を実行できるようになるほか、リターントラフィックに悪意ある要素を注入できるようにもなります。
サイバー犯罪者が感染ルータのトラフィック分析や乗っ取りに注力すると、その後実行される攻撃活動が多岐にわたる恐れがあります。サイバー犯罪者は、感染ルータを通じて改ざんに必要な要素をWebページに埋め込むことで、JavaScriptベースの暗号資産の採掘(コインマイニング)、あるいはクリック詐欺が実行可能になります。またサイバー犯罪者は、バックドアに感染させて遠隔操作が可能となったコンピュータの情報や詐取情報を販売するなどして、ルータに感染させたマルウェアから収益を得る方法を見出すこともできます。
さらに感染ルータは、ネットワーク上のセキュアでない別のデバイスに攻撃基盤を拡大するための足がかりとしてサイバー犯罪者に利用される可能性があります。感染ルータを内部活動に利用することで、攻撃者はトラフィックを傍受する必要がなく、TLS(Transport Layer Security)暗号化通信がもたらす問題に対処する必要もありません。これらの手口は、近年確認されるランサムウェアや標的型攻撃に利用される侵入経路と相通ずるものがあります。
サイバー犯罪者は感染ルータを介して内部活動を実施することで、新たに別のルータを感染させるか、個々のコンピュータを感染させるかを選択する必要がなくなります。サイバー犯罪者はルータを侵害することで、コンピュータを含むネットワーク内のセキュアでないデバイスを乗っ取ることが可能になります。
これらの攻撃シナリオが実行される可能性
上記の攻撃活動を実行するのは難しいことかもしれません。しかし本記事でこれらの攻撃シナリオを解説するのは、実行される可能性があるためです。ボットネットを構成するマルウェアは、ネットワーク内部を通過するトラフィックを傍受し、返ってくるWebページすべてに任意の要素を注入する必要があります。技術的視点からこれらを実行するにはルータのプロトコルスタックを改ざんする必要があり難しいことではありますが、理論上は実行可能です。さらにサイバー犯罪者はユーザがアクセスしたWebページのログを盗み見て、そこに含まれる認証情報を詐取することもできます。これはルータのプロトコルスタックを改ざんする手口よりも比較的簡単に実行される可能性があります。
■IoTボットネットの過去、現在、そして今後に予測される動向
P2Pネットワークは、IoTボットネットがさらに深刻な脅威へと高度化するための方法を示しています。この見解はトレンドマイクロが以前に行った調査に基づいたものです。トレンドマイクロのホワイトペーパー「ワーム戦争:IoT 分野におけるボットネット間の戦い」では、今日も活動を続ける多くのIoTボット型マルウェアファミリの起源となるコードベースについて調査しました。さらに重要な点として、セキュアでないデバイスをめぐりサイバー犯罪者同士がどれほど活発に争奪戦を繰り広げていたかについて報告しました。一方、VPNFilterの現状を再調査した結果、遠隔操作に用いられたC&Cサーバが2018年からテイクダウンされているにも関わらず、マルウェアが何らかの形でデバイス内に残存し再稼働する可能性があるため、感染被害を完全にクリーンアップできないことが判明しました。
これらの調査結果からIoTボットネットがもたらす課題が見えてきました。P2P技術が加わることでIoTボットネットの特性がさらに複雑化します。P2Pボットネットは中核を担うC&Cサーバを必要としないため、IoTボットネットのようにテイクダウンすることができず、根絶するにはさらなる困難を強いられる可能性があります。本記事で解説した収益化する手口がP2Pボットネットに加わることで、IoTマルウェアは大きく変化する可能性があります。
これらの攻撃の多くは家庭用ルータや家庭用IoT機器を中心に狙ったものですが、企業組織は自社で取り入れているセキュリティ対策との関連性を見落とさないようにする必要があります。テレワークが一般化した今日では、家庭用ネットワークと企業ネットワークを隔てる境界線を見極めることが非常に難しくなっているため、一般ユーザを標的とした攻撃と企業組織を標的とした攻撃を隔てる境界線を見極めることも難しくなっています。攻撃者はより価値の高い標的に到達するための手段として安全性の低いホームネットワークやルータを狙う可能性があります。
本ブログ記事で解説した攻撃シナリオの一部は現実のものとならないかもしれません。しかしP2Pボットネットはすでに存在し、企業ネットワークあるいはホームネットワークを利用するユーザに大きな脅威を与えていることは事実です。企業も個人ユーザもルータを守ることは自身の利用するコンピュータ端末を保護することと同様に重要であると意識を変えていく必要があります。
マルウェア感染からルータを守るために企業や個人ユーザがすぐにできる対策を以下に示します。
- 脆弱性に関する更新情報を確認し、迅速に修正プログラム(パッチ)を適用すること。供給後すぐにパッチを適用することで、脆弱性を利用した攻撃(エクスプロイト)による潜在的な被害を抑止することができます。
- 安全なセキュリティ設定を適用すること。ユーザは自身の利用するデバイスへの不正侵入の機会を減少させるために最も安全なセキュリティ設定を適用し、セキュリティを確保する必要があります。
- 強力で推測されにくいパスワードを使用する。デフォルトのパスワードを8文字以上かつ大文字、小文字、数字、記号を混ぜた複雑で一意のパスワードに変更することで、総当たり攻撃(ブルートフォース攻撃)による不正ログインやアカウントの乗っ取りを阻止することができます。
参考記事:
- 「The Future of P2P IoT Botnets」
by Mayra Rosario Fuentes, Stephen Hilt, Robert McArdle, Fernando Merces, David Sancho, Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
高橋 哲朗(スレットマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)