シマンテックは9月26日、サイバー犯罪者ネットワークがIoT機器のセキュリティの不十分さを悪用し、マルウェア配布、ゾンビ ネットワーク作成、あるいはボットネット構築などを機器所有者に知られることなく行っていることを示した新たな調査結果を発表した。
それによると、すべてのIoT攻撃のうち半数以上は中国と米国から行われ、ロシア、ドイツ、オランダ、ウクライナ、ベトナムからも多数の攻撃が行われているという。
|
2016年にIoT ハニーポットの監視で見つかった攻撃の発信元(重複を数えない攻撃者の件数による) |
IoTデバイスの多くは、セキュリティの弱さゆえに攻撃しやすい標的になっているうえ、感染したことに気付かない被害者も少なくなく、攻撃者はIoT のセキュリティがもろいことを十分に認識しているという。
マルウェアの大半は、Webサーバ、ルータ、モデム、NAS機器、CCTVシステムおよび産業用制御システムなどPC以外の組み込み機器を標的としており、攻撃者はIoTのセキュリティが不十分であることを認識し、一般に使用されているデフォルトのパスワードをマルウェアにあらかじめ組み込むことによってIoT機器を容易に乗っ取っているという。
IoTマルウェアが機器へのログイン時に最も使用されたパスワードは、「root」と「admin」の組み合わせで、デフォルトのパスワードが変更されない場合が多いことを示している。
マルウェアの拡散に限ってみると、TelnetポートまたはSSHポートを使うIPアドレスをランダムにスキャンし、よく使われるユーザー名/パスワードを使って総当たりを試みるというのが最も一般的な手法だという。
攻撃でよく見られるのが、wgetまたはtftpコマンドを使ってシェルスクリプト(.sh)をダウンロードするという手口で、次にボットのバイナリをダウンロード。作成者が、アーキテクチャごとのボットバイナリを区別するために麻薬の通称を使っていたシェルスクリプトも確認されているという
