• TOP
  • 特集一覧
  • 「IoT」でも「セキュリティ」:明確にIoT機器を狙い始めたLinuxマルウェア
2017/01/18

「IoT」でも「セキュリティ」:明確にIoT機器を狙い始めたLinuxマルウェア

メイン画像

以前の記事では「IoT」で見過ごされがちな「セキュリティ」について、今後起こり得る攻撃の可能性を既に発生している事例から説明しました。

その中で既存のOS向けの不正プログラムがIoT機器に被害を及ぼす可能性について言及していますが、記事公開から数か月を経て、攻撃者が既存OSを採用したIoT機器に狙いをつけていることを示す事例が揃ってきています。

特にLinuxを狙う不正プログラム(Linuxマルウェア)での動きが顕著です。

活発化するLinuxマルウェア

PCやサーバに使用されるOSとしてLinuxはこれまで「安全」とみなされてきました。しかし実際には、不正プログラム(マルウェア)の脅威はインターネット利用者のPCとして圧倒的なシェアを持つWindows を主な標的としてきたために、相対的にWindows以外のOSには脅威が無いように見えていただけ、というのが正しい認識のようです。

Linuxマルウェアは、今から10年前の2005年の段階ですでに確認されています。以下はトレンドマイクロのウイルス検出パターンファイルにおけるLinuxマルウェアの検出パターン数と増分を表したグラフです。2017年1月1日現在、Linuxマルウェアのパターンは1339個あります。そして、四半期ごとの増加数、つまり新種不正プログラムの登場数は年々増加していることがわかります。

2016年に入り増加数は過去最高を更新し続け、第4四半期(10~12月)の増加数は244個に達しました。これらの動きから、Linuxを狙う攻撃者の動きは2016年に入り特に活発化していると言えます。

図:トレンドマイクロのパターンファイルにおけるLinuxマルウェア(接頭辞ELF_)の累計パターン数と増分の推移

図:トレンドマイクロのパターンファイルにおけるLinuxマルウェア(接頭辞ELF_)の累計パターン数と増分の推移

シェアから見ればインターネット利用者が使用するクライアントPCの大多数はWindowsです。そのため、広く一般を狙う攻撃はWindowsに集中します。しかし、Webサーバなどインターネット上の公開サーバ用途では、Linuxが大きなシェアを占めています。

このためLinuxマルウェアでは、不特定多数のインターネット利用者を狙うばらまき型の攻撃よりも、公開サーバの侵害を狙うものが多くなります。その中心は侵入したサーバを外部からの遠隔操作を可能にするバックドア型やボットと呼ばれるタイプの不正プログラムです。

攻撃者はバックドアやボットにより遠隔操作を可能にし、Webサイト改ざんやサーバ内の情報窃取のお膳立てをしたり、分散型サービス拒否攻撃(DDoS)やスパムメール送信などさらなる不正活動の踏み台にしたりします。特にDDoS攻撃はLinuxを侵害する攻撃者にとって最も中心的な攻撃目的となっています。

例として、2016年7月から9月にかけて新たに登場したLinuxマルウェア129種の6割以上は、DDoS攻撃の機能を持っていたことがわかっており、ここ最近での攻撃者の大きな目的の一つを占めているものと言えます。

「踏み台」としてLinuxマルウェアに狙われるIoT機器

そして、この攻撃者にとって大きな目的であるDDoS攻撃において、既存のLinuxサーバに加えてIoT機器を狙うことは非常に有効であることが、実際の攻撃事例で証明されました。

8月に登場した「Mirai」は、Linuxサーバだけでなく、インターネット上のIoT機器も攻撃対象に入れることで史上最大規模と呼ばれるDDoS攻撃を可能にしました。以前の記事で挙げた危険事例のうち「IoT機器が不正行為の踏み台として悪用される被害」の発生です。

「Mirai」の攻撃以降、特にIoT機器で使用されるARM系プロセッサ上のLinuxを狙った動きが明らかになってきました。ほとんどのPCやサーバで使用されているx86/x64系プロセッサに対し、ARM系プロセッサは低消費電力などの利点から組み込み機器やモバイルデバイスで使用されてきました。今でも大半のスマートフォンやIoT機器で使用されています。

以前からARM系プロセッサ上でも活動可能なLinuxマルウェアは存在しており、2015年ころから実際の攻撃も確認されていました。しかし「Mirai」はARM系プロセッサへの対応と同時に、IoT機器のデフォルトで設定されているアカウントとパスワードのリストを使用して侵入を試みるという、明確にIoT機器を対象とした活動を持っていました。

その後、9月に確認されたルートキット「Unbreon」とボットの「LuaBot」もARM系プロセッサを動作対象に選んでいます。Linuxマルウェアがこのような短期間に複数登場し、いずれもARM系プロセッサへ対応しているという状況は、既に攻撃者がIoT機器を積極的に攻撃対象としていることを示しています。今後膨大に増えていくことが予想されるIoT機器を不正活動の踏み台にされないように防護するセキュリティがやはり必要です。

IoT利用者が認識すべきセキュリティ対策

今回の記事でとりあげたLinuxマルウェアではIoT機器の「認証の突破」と「脆弱性の利用」が、攻撃の手法として使われています。IoT機器を利用する上では、まずインターネットに直接接続する必要があるかどうかを考慮し、必要がない場合はなるべくルータを利用することでインターネット側から直接アクセスされないようにしましょう。

また、機器に接続するためのパスワードによる認証は必ず有効にすると同時に、デフォルトのパスワードや推測されやすいパスワードの使用は避けましょう。機器のアップデートを自動にできる設定がある場合はなるべく自動にし、常に最新を保つようにすべきです。

IoT機器の開発者が認識すべきセキュリティ対策

事業者としてより安全なIoT機器の提供をこころがけましょう。よりセキュアなIoTデバイスの開発にあたっては、こちらのガイドラインも参考にしてください。

IoTセキュリティの設計に違和感を覚えている方に:IoTセキュリティガイドラインを公開

KATSUYUKI OKAMOTO

岡本 勝之(おかもと かつゆき)

トレンドマイクロ株式会社

セキュリティエバンジェリスト

製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行し、シニアアンチスレットアナリストを務める。特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop