2016/08/09

IoTはネット恐喝の新たな標的になるのか

メイン画像

スマートホームの自宅から閉め出され、莫大な金額を支払わないと入れないと脅される状況を想像してください。あるいは、桁外れの身代金を支払うまでブレーキをかけないと脅すスマート自動車を思い浮かべてみてください。

こうしたシナリオが現実になるのも遠い話ではありません。実際、トレンドマイクロでは2016年6月、スマートテレビを乗っ取るAndroid向けランサムウェアの亜種「Flocker」を発見しました。

デバイスがネットワークのようにつながり情報をやりとりする「IoT(モノのインターネット)」の導入が本格化する中、IoTは長年にわたりサイバー犯罪者の注目を集めてきました。

ITアドバイザリ企業であるガートナー社は、2015年から30%増加し2016年には世界中で64億台のIoTデバイスが使用され、2020年までに稼働台数が208億台を超えると予想しています。

出典:Gartner Press Release “Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015” November 10, 2015 http://www.gartner.com/newsroom/id/3165317

また、2020年までに新たな主要業務プロセスや業務システムの半数以上でIoTが活用されると予測しています。

出典:Gartner Press Release “Gartner Says By 2020, More Than Half of Major New Business Processes and Systems Will Incorporate Some Element of the Internet of Things” January 14, 2016 http://www.gartner.com/newsroom/id/3185623

サイバー犯罪者にとっては、この魅力的な標的に狙いを定めるチャンス到来といえます。遠隔制御可能な照明装置やWi-Fi対応の車載インフォテインメント (IVI) システムといった最新のアプリケーションやハードウェアを装備しても、そのほとんどはLinuxベースのOSを利用しており、C言語を使った安全とは言えないコンパイラオプションで構築されています。さらにリモートアクセスには、TCP/IP (1989年、RFC 1122)、ZigBee (2004年仕様)、およびCAN 2.0 (1991年) など古い接続プロトコルが利用されています。

たとえばTCP/IPプロトコルの脆弱性は、悪意のある第三者がIoTデバイスのネットワーク通信を傍受してデバイスのアクセス権を取得する中間者攻撃につながる可能性があります (下図参照)。

図1. TCP/IPの脆弱性により中間者攻撃が実現

図1. TCP/IPの脆弱性により中間者攻撃が実現

ランサムウェアはIoTデバイスにどのような脅威をもたらすのでしょうか。IoTデバイスを乗っ取った犯罪者は、そのデバイスを人質として身代金の支払いを要求しますが、この攻撃には複数の段階があります。

予備調査とPoC(概念実証)

この段階では、対象デバイスを調査して脆弱性を探し出し、人質に利用できる脆弱性を見つけるためのPoCの検討に重点を置きます。PoCの例には、IVIに統合されたDAB (Digital Audio Broadcasting) ラジオ受信機の脆弱性や、隔離された(エアギャップ)ネットワークからのデータの窃取を可能にするコネクテッド照明の認証の不具合などがあります。

IoTデバイスを乗っ取る際、攻撃者は次のことを行います。

1. デフォルトもしくは組み込みの認証情報の検知

2. Wプロトコルファザーやパラメータファザーなどのファズツールを使用したプロトコルの不具合の調査

3. 入力のバリデーション不備の調査 (バッファオーバーフローやSQLインジェクションなど)


サイバー犯罪者は、Modbus FuzzerCANardなどのオープンソースの調査ツールを悪用して調査を高速化することもあります。これらはWebベースのコードホストサービスであるGithubで利用できます。

図2. 稼働中のamerican fuzzy lop 2.06ファザー:不具合を確認するために実行しているソフトウェアに大量の入力データを提供

図2. 稼働中のamerican fuzzy lop 2.06ファザー:不具合を確認するために実行しているソフトウェアに大量の入力データを提供

デバイスの乗っ取り

この段階では、次のような攻撃手法でデバイスの乗っ取りを試みます。

1. 脆弱性またはデフォルトID/パスワードを利用してデバイスにアクセスし、内部ネットワークを移動するための起点を発見

2. より強力な制御を行うためにボットネットを確立

3. DDoS攻撃を開始

  ※DDoS攻撃を成功させるには大量のデータが必要だが、広範に利用されているIoTデバイスがDDoS攻撃の実行に適した環境を提供します。たとえば、DDoS攻撃に必要なネットワークトラフィックのソースとして、感染した数千のCCTVで構成されるボットネットが、最近利用されたという例が報告されています。

図3. TCP/IPの脆弱性によりもたらされるSYNフラッド攻撃 (DoS攻撃の1種) のイメージ

図3. TCP/IPの脆弱性によりもたらされるSYNフラッド攻撃 (DoS攻撃の1種) のイメージ

4.ビットコイン採掘プログラムの組み込み

  ※単一のIoTデバイスのCPU能力は低いものの、全体に感染すれば、ビットコインを探し出すのに十分な処理能力を補うことができます。2014年4月、監視カメラでビデオ録画するために使われていたDVRが同様のマルウェアに感染しています。


IoTデバイスを人質とした身代金の要求

サイバー犯罪者は、犠牲者を困らせたり危機的状況に陥らせるため、ありとあらゆることの実行を試みます。たとえば、車のブレーキやハンドルをロックしたり、スマートテレビの画面をゆがめたり、通常のテレビ番組を視聴できなくしたり、鉄道網を完全にダウンさせたりします。サイバー犯罪者はその後、犠牲者を脅迫し、身代金を求めて利益を得るのです。

大半のベンダがその性能や機能性に重点を置く中、IoTデバイスのセキュリティはほとんど見過ごされてきました。この状況は、手軽に利用できるShodanZoomEyeなどのIoT検索エンジンの登場によってさらに深刻化しています。

しかし、一般消費者および企業ユーザによるIoT導入の拡大に伴い、IoTデバイスのセキュリティが注目され始めています。

ガートナー社によると 実際、IoTのセキュリティに関する世界の支出は、2018年には5億4700万ドルに達すると予測されています。ガートナー社も同様に、企業へのサイバー攻撃について、2020年までには、特定される攻撃の25%以上はIoTが関与したものになると予測しています。

出典:Gartner Press Release “Gartner Says Worldwide IoT Security Spending to Reach $348 Million in 2016” April 25, 2016 http://www.gartner.com/newsroom/id/3291817


たとえばTesla社およびFiat Chrysler社は、バグ報奨金制度を設けて自社のコネクテッドカーの安全性を強化するという手法を取りました。米国では、自動車情報共有分析センター (Auto-ISAC) が自動車メーカー15社と連携して、各車両のサイバーセキュリティに関するベストプラクティスのリストを作成しています。

IoTの世界におけるネット恐喝やランサムウェア攻撃は技術的には実現可能ですが、近い将来に行われる可能性は低いでしょう。現時点でIoTデバイスのハッキングには時間とコストが必要なためです。さらに恐喝によって金銭的利益を得るには、特定の企業や業種を標的にしたうえで攻撃をカスタマイズする必要があります。また、ランサムウェアによる攻撃を行う犯罪者の場合、可能な限り多くの犠牲者から短期間で高い収益を得ることをビジネスモデルとしていることからも実現性は高くありません。

IoTの拡大、ランサムウェアの表立っては高く見える収益性、およびIoTデバイスへの比較的容易な侵入という組み合わせは、従来からある攻撃手法をこれらに適用することができることを考えると恐るべきものです。IoTの巨大なネットワークを完全に守るための特効薬はありません。しかし、IoTのソフトウェアやハードウェアの設計時にセキュリティ監査プロセスを実施したり、セキュリティゲートウェイの設置や、エンドポイントの監視の追加、リアルタイムのログ監視を利用したりすることで、リスクの軽減に役立つでしょう。

ZIV CHANG

Ziv(YuMin) Chang

Sr. Director Cyber Safety Solutions

Trend Micro

標的型サイバー攻撃や脆弱性攻撃の分析、マルウェア解析等、広くサイバーセキュリティ全般に関わるリサーチのスペシャリストであると同時に、これらの経験とペネトレーションテストやコード解析における高い知見を役立て台湾で主にセキュリティ設計や戦略の立案に従事している。HITCON(Hack in Taiwan conference)の設立メンバーの一員であると同時にBlack Hat Briefing Asiaをはじめとした主要イベントでの登壇を数多く行う。現在はICS、SCADA、スマートカー分野におけるIoTのセキュリティリスクアセスメントに注力。CERT/CC, CISSP, CEH, CHFI および ECSA/LPT保持者。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop