DNSサービスが狙われ米国大手サービスが複数ダウン

　10月21日ごろ米国で発生したDDoS攻撃は、ネットフリックスやツイッター、スポティファイといったメジャーなサイトが数時間にわたってつながりにくくなる被害をもたらした。一時は復帰したサイトもすぐにそれ以上のトラフィックのDDoS攻撃を受け、再び対応に追われるなど混乱はおよそ6時間ほど続いた。

　このDDoS攻撃では、被害を受けたサイト（URL）直接ではなく、これらの会社にDNSのクラウドサービスを提供しているDyn社のサーバーが狙われた。理由ははっきりしないが、最初の攻撃が発生する直前、Dyn社のエンジニアがセキュリティカンファレンスでDDoS攻撃対策の講演を行っており、それに対する報復または挑戦としてDyn社を直接狙ったのでは、といった分析をする専門家もいる。

世間を騒がせたIoTマルウェア「Mirai」とは？

　今回の米国でのDDoS攻撃で注目すべきは、使用されたマルウェアがMiraiという特殊なものだった点である。

　Miraiは、Webカメラ、ブロードバンドルーターなどを狙ったマルウェアだ。Miraiは、感染端末からインターネット上のWebカメラやルータのIPアドレスをスキャンする。これらを見つけると、製品に工場出荷で設定されている管理者ID、パスワードでログインを試す。デフォルトから設定変更していない機器は、Miraiに感染すると管理者アカウントを乗っ取られ、C&Cサーバーからの指令を待つボットとなってしまう。

　これまでボットネットというと、脆弱性のある大量のPCによって構成されるものだったが、MiraiはネットワークカメラなどIoT機器でボットネットを構築するマルウェアといえる。

　NAS、ルータ、ネットワークカメラ、プリンタ、複合機といったPC以外のデバイスの脆弱性については以前から指摘があり、これらの機器がマルウェアに感染した場合のリスク、その対策は議論もされていた。CVEやJVNといった脆弱性ハンドリングによってメーカーの対応も行われていたが、ソフトウェアアップデートの枠組みが整備されていないなどの理由で、セキュアでない状態のデバイスが大量に残っているのが現状だ。

　IoT機器も、インターネットからアクセスできないように設定されていればMiraiに感染する危険性はほぼないが、今回の攻撃に利用されたのはWebカメラだった。Webカメラはインターネット経由でアクセスできないと用途が限られてしまうため、結果として多くのカメラが感染したようだ。なお、デフォルト設定に脆弱性があり、今回の攻撃で大量に感染製品を出してしまった中国のメーカーは製品のリコールを余儀なくされた。

【次ページ】IoT機器のセキュリティ対策はなぜ難しいのか