IoT時代のマルウェア対策～機器に関する「サトリ」の脅威の事例

サトリとは、IoT機器に感染し、ボットネットを形成するマルウェアのことです。第三者の指示通りに動く操り人形（ロボット）にしてしまう悪意のあるプログラムのことを「ボット」と言い、それをネットワーク化したものが「ボットネット」です。感染して乗っ取られた状態は、「ゾンビ化」などとも呼ばれています。

構築されたボットネットは、普段は顕在化することはありませんが、ひとたびC&Cサーバーと呼ばれる攻撃側のサーバーから指令を受けると一斉に活性化し、サイバー攻撃を行います。

C&Cサーバーとは、「コマンド（Command）&コントロール(Control)サーバー」という言葉の略で、ボットネットに対し不正なコマンドを遠隔で頻繁に送信するために利用されます。

多くの場合、ボットネットを利用してDDoS（Distributed Denial of Service attack）と呼ばれる攻撃を行い、サーバーをダウンさせるといった被害を発生させます。DDoS攻撃とは、乗っ取った複数の機器から攻撃目標であるサイトやサーバーに対して大量のデータを送り付けることであり、この攻撃を受けたサーバーはトラフィックが異常に増大し、負荷に耐えられなくなってダウンしてしまいます。

しかし、DDoS攻撃という手法自体はIoT技術が普及する前から存在していました。サトリがこれからの時代に脅威になるのは、DDoS攻撃の特徴とIoT機器普及の相性が要因です。DDoS攻撃は、ゾンビ化させた機器の数が多ければ多いほど強力になる特徴があります。そして、これまでのインターネットの代表格であるパソコンやスマートフォンに比べて、IoT機器の数は圧倒的に多数となるため、DDoS攻撃はより強力で甚大な被害を出す方法になったのです。

関連記事

企業がとるべきWebサイトのセキュリティ対策とサイバー攻撃のトレンドとは！

そもそもサトリは、IoT機器を攻撃するマルウェア「ミライ（Mirai）」の亜種として誕生しました。ミライとは、サトリと同様にIoT機器に感染してボットネットを形成し、DDoS攻撃を仕掛けるというタイプのマルウェアです。

ミライが大きく注目を浴びたのは、2017年10月に米国で発生した大規模なサイバー攻撃によりTwitter、Amazonなどのサービスがアクセス不能となったことがきっかけです。これらの事案は、ミライに感染したIoT機器による大規模なDDoS攻撃によるものでした。

ミライの最大の特徴は、そのソースコードが公開されている点にあります。発見された当初は謎のマルウェアとして恐れられていましたが、2016年に制作者として有力視されている「Anna-senpai」と名乗る人物が、突如ミライのソースコードを公開しました。これにより、その気になれば誰でもミライの亜種を作れるようになったのです。

ミライが増殖する仕組みは単純で、ランダムに検出したIPアドレスを経由し、感染可能なデバイスを検索します。この際、侵入可能かどうかを調べるのに際し、ポートスキャンと呼ばれる、外部からアクセス可能なポートをスキャンして探す手法が用いられています。

ミライがターゲットとしているのは主にLinux系のOSで、ポートスキャンを用いて、Telnet（ポート番号23）やSSH（ポート番号22）など、外部から侵入可能なサービスのポートが存在するかを探索します。そうして侵入できそうなIoT機器を見つけたミライは、辞書攻撃と呼ばれる方式で機器への侵入を試みます。

辞書攻撃とは古くから存在する古典的なサイバー攻撃の一つで、多くの人が使う単語や用語の組み合わせを、順次入力して不正アクセスを行うというものです。

普及したばかりのころのIoT機器は、セキュリティに関する認識が甘く、外部からのアクセスを許すサービスのポート番号が公開されたうえに、IDおよびパスワードもAdmin/Adminやroot/rootなどといったデフォルトの設定状態のまま放置されているものも少なくなかったことから、ミライの感染対象になってしまいました。

ミライの攻撃方法は単純ながらきわめて強力であり、爆発的な勢いでミライの亜種が登場しはじめました。代表的なものとしては、Qbot、Hajime 、Hakaiなどがあり、サトリもミライの亜種の一つです。

サトリの存在が認識されたのは2017年に、セキュリティ企業によりHuawei（ファーウェイ）のルーターである「Huawei HG53」の未知の脆弱性を突く攻撃が世界各地で発生していることが発見されたことがきっかけでした。

サトリは、ミライの亜種ということもあり、増殖する方法もミライに近く、感染後、ボットネットを形成して自己増殖します。発見当初のサトリは、ポートスキャンによってポート番号37215およびポート番号52869をスキャンして侵入するといったものでした。

これらのポートは、Universal Plug and Play (UPnP)という情報家電などの機器を接続しただけでコンピュータネットワークに参加することを可能にするプロトコルを利用するためのポートであり、サトリはこれを利用して機器に対しroot権限で機器を不正に操作します。

サトリとミライの増殖方法は似ているものの、IoT機器への侵入方法という点で、脆弱性を標的として侵入するサトリは不特定多数の機器への侵入を試みるミライとは対照的です。

しかし、その後サトリにもさまざまな亜種が登場し、ミライと同様にTelnetを利用したりするものなども現れており、今後もさらに亜種が登場すると思われます。代表的なところでは、仮想通貨発掘ソフトウェア「Claymore」を乗っ取ったサトリの亜種が確認されており、発掘した仮想通貨が窃取されるという被害が報告されています。

では、サトリからの攻撃を守るためにはどのような対策をすればよいのでしょうか。

まずに気を付けなくてはならないことは、インターネット上に公開することが危険で不必要なポートが外部に公開されていないかを確認するという事です。

例えば家庭用のブロードバンドルーターには特定のポートを外部から遮断する機能があるので、これによって外部に公開するポート番号を絞り込むことによってもリスクを軽減させることができます。特にサトリの標的となったUPnP関連では、ルーターは特にこの部分のアクセスを禁止させるための機能を設けている機器も多いので、使用しない場合はそういった機能を利用しましょう。

ハードウェアを選定する際には、機能と使いやすさだけでなくセキュリティとプライバシーの保護機能を備えた機器を選ぶことも大切です。そのような機器を選定したうえで、機器の認証情報は初期設定のままにせず、不正アクセスの可能性を減らすように努める必要があります。

また、サトリの亜種による攻撃には特定の癖があることが多いため、その癖に応じた対策がとられることが多いです。そのため、常にセキュリティに関する最新の情報を入手し、その情報に基づいてこまめにセキュリティ対策を施すことも有効です。

これらの対策はいずれもミライやサトリに限らず、セキュリティの基本と言える方法です。ただし、IoT機器は数が多いため、システムの中に一つでもセキュリティに不備がある機器があれば、その隙を突かれてたちまち感染が拡大してしまいます。

自分が被害者にならないためにも、そして、自分のシステムを攻撃の踏み台にさせないためにも、基本的なセキュリティ対策はしっかり行うことが重要です。

関連記事

基本的なWebシステムのセキュリティ対策は？SQLインジェクション等を解説