Wind River Blog Network 翻訳版
本サイトでは、Wind River Blog Networkの一部を翻訳し公開しております。

October 19, 2016

IoTゾンビの群れに対する免疫

投稿者:Alex deVries、Tim Skutt

大量のIoTゾンビがはびこっています。駆除することは、すぐにはできません。

IoTゾンビは、皆さんのデバイスを狙っています。被害を避けるには、今すぐに免疫をつけることが重要です。

私たちは以前のブログ「IoT Zombies are Eating the Internet(IoTゾンビがインターネットをむしばんでいる)」で、IoTデバイスを踏み台にボット(ゾンビ)を形成して仕掛ける、最近の大規模なDDoS(Distributed Denial of Service、分散サービス拒否)攻撃について詳しく取り上げました。ブログ投稿後すぐに、このソースコードが、マルウェア作者を名乗る人物によって公開されました。「Mirai」というこのマルウェアはトロイの木馬型ウイルスで、IoTデバイスをベースにして、複数の注目サイトにDDoS攻撃を仕掛けます。大規模な感染が推定されており、Malware Techでは感染デバイスは12万台、Level 3では150万台と見積もっています。これはごく最近の事例です。

こうしたウイルスは、永久に残ります。

ゾンビ襲来の対策を検討するにあたり、Miraiが広まった経緯を詳しく把握するには、ヒトの免疫系が役立ちます。医学分野の感染症の過程は、SIR(Susceptible, Infected and Recovered:感受性保持者、感染者、免疫保持者)曲線としてモデル化されています。このモデルはIoT分野にも当てはまります。

Miraiに感染したデバイスは、インターネットをスキャンして、Telnetポートが開いているデバイスを探して、デフォルトの認証情報でログインを試みます。こうしたデバイスを見つけると、感染してゾンビに変えてしまい、さらにそのゾンビがインターネットをスキャンして標的を探します。これが最初の大幅な上昇曲線に示されています。

ウイルスが駆除されたり、保護されたりするデバイスもありますが、大半は何の対処も行われません。こうしたデバイスは、永久に感染したままです。

デバイスからウイルスを駆除しても、免疫がなければ、おそらく別の感染デバイスから再感染します。感染デバイスの多くは、アップデートして感染を取り除くということがないため、当面の間は感染が継続的に繰り返されます。

撲滅できるのか?

Miraiを駆除したり、少なくともその影響を抑える方法は存在します。

すべてのデバイスを修正する

実際には、これはあり得ません。デバイス所有者の大半は、自分のデバイスが感染していることに気付いていないか、修正するスキルや能力がないのか、あえて修正しようとしません(直接自分には影響がないからです)。

コマンド&コントロールサーバを停止する

Miraiの弱点は、新たに感染したデバイスはC&Cサーバ(コマンド&コントロールサーバ)に接続して、命令を受け取る必要があるという点です。これらはおそらく感染デバイスではなく、セキュリティ侵害に遭ったサーバです。C&Cサーバを停止すれば、Miraiの感染活動を制限できます。

標的を保護する

セキュリティサイトのkrebsonsecurity.comは、最近のIoTのDDoS攻撃を受けて、攻撃を避けるためにホスティング会社を変えて復旧しました。DDoS攻撃は珍しいものではなく、対応方法がすでに存在しており、標的の移動もその1つです。

しかし結局のところ、現在感染している、または感染が疑われるデバイスをすべて修正するのは非現実的であり、感染を完全に除去することはおそらく不可能です。

今後の予想

Mirai以外にも、IoTデバイスに感染する自己増殖型マルウェアが開発されるでしょう。Miraiのソースコードが公開されたことで、亜種も次々に出現しています。

Miraiのソースコードが幅広く利用されるようになれば、ウイルスの適応が引き起こされます。おそらく、C&Cサーバへの依存はなくなるでしょう。この変異体は、さらに駆除が難しくなると思われます。

これまでのところ、Miraiは主にDDoS攻撃を仕掛けていますが、次のウイルスはIoTデバイスを踏み台にして、ボット化したIoTデバイスと同一ネットワーク上にある他のシステムを攻撃するようになります。

デバイスに免疫をつける

当面の間、IoTゾンビは存続するものと思われます。これを回避し、隔離するために最善を尽くすことはできますが、ネットワークの変化や新規デバイスの導入に伴って、リスクにさらされる新たな経路が開いてしまいます。感染の脅威はなくならないため、皆さんのデバイスが標的になるのは時間の問題に過ぎません。感染に対する免疫をデバイスに持たせることが極めて重要です。

免疫をつけるための最初の手順は明らかで、既知の感染経路を排除することです。不要なサービス(Telnetなど)を削除またはブロックしたり、デフォルトの認証情報を堅固なパスワードに変更したり、外部のエンドポイントへの予期せぬ接続をブロックしたりします。

しかし将来を見据えると、次なる免疫付与の手順が必要です。つまり、適応したウイルスが狙うであろう、脆弱性を防ぐことです。ここでは、「CWE/SANS Top 25 Most Dangerous Software Errors(CWE/SANS最も危険なソフトウェアエラーTOP25)」などが役立ちます。また、ウインドリバーもお役に立てます。

ウインドリバーの製品は以下のような、事前にインテグレーション済みの多層防御策を提供します。

  • 感染した実行可能コードから保護するための、セキュアブートと初期化
  • 認証情報と他の機密情報を保護するための、保存中のデータの暗号化
  • 偽のエンドポイントや、悪意ある接続の試みから保護するための相互認証
  • 機密情報を保護するための、稼働中のデータの暗号化
  • 特権昇格を防ぐためのOSの強化
  • 予期しない外部への接続や、外部からのアクセスをブロックするファイアウォール
  • 正式な変更をサポートしながら、悪意ある修正を防ぐセキュアなアップデート

こうした防御策は、ウインドリバーのカスタマイズ可能なOS製品に組み込まれており、不要なサービスをデバイスから削除できます。これにより、デバイスに堅牢な防御策を提供しながら、デバイスの感染経路を減らします。

さらにウインドリバーのプロフェッショナルサービス部門は、お客様のデバイスのニーズに対応するため、製品の評価やカスタマイズを支援します。これには、セキュリティ認証情報の設定や導入に向けたツールやプロセス、ハードウェアセキュリティ機能の使用の最適化、セキュリティ脅威の評価やセキュリティテストなどが含まれます。

話しかける「死者」

IoTゾンビは皆さんのデバイスに近づき、話しかけ、感染経路を探そうとします。デバイスの保護方法はすでに存在し、現在のウイルス種だけではなく、今後の変種に対する免疫も提供できる、事前にインテグレーション済みのソリューションもあります。今すぐに免疫をつけることで、長期にわたってデバイスを健全な状態に維持できます。