DDoS攻撃にまつわる注目トピック - 脆弱なIoT機器、ダークウェブ

DDoS攻撃の基礎からその対策方法、トレンドなどをひも解く本連載。前回は、実際の被害例や調査結果をもとに、どのような組織においてDDoS対策が必要かについて説明しました。今回は、IoTデバイスを踏み台とするMiraiウイルスや、ダークウェブによる攻撃の進化、また、人々の生活や命を脅かす攻撃など、今注視すべきDDoS攻撃とその背景について解説します。

DDoSの脅威を知らしめしたMirai

前回も少し触れましたが、2016年10月26日、大規模なサイバー攻撃が発生し、Twitter、AWSなど米国の主要なWebサービスへアクセスできなくなりました。日本でも多くのユーザーがTwitterにアクセスできなくなったほか、他の複数のWebサービスもアクセスが安定しない状況でした。テレビのニュースでも、大規模なサイバー攻撃が発生したと報じていたことは記憶に新しいことでしょう。

この攻撃は、脆弱性のあるIoTデバイスに感染するMiraiウイルス(以下Mirai)により形成されたボットネットから、Dyn社のDNSサーバに対して不正な通信を大量に送信するDDoS攻撃でした。

Dyn社は、多くのWebサービスのドメインを管理するDNSサーバを運営するサービスプロバイダーです。このDyn社が管理しているDNSサーバに対して多くの不正なDNSリクエストを送信し、正規のリクエストに対して名前解決ができなくなり、ユーザーがWebサービスに接続できない状態になりました。

DDoS攻撃のインフラ形成のために使われたMiraiは、外部からSSHやTelnetを介して、デフォルトのID、パスワードを利用し、多くの脆弱性のあるLinux OSで動作するIoTデバイスに感染しようとします。IDやパスワードが製品出荷時から変更されない状態で、インターネットに接続されているデバイスは世の中に多く存在します。

また、Miraiの作者はソースコードをMiraiの名で公開したため同種類のウイルス(亜種)も多く発生しました。Miraiのソースコードからも複数のデフォルトのID、パスワードに対してアクセスを行っていることがわかります。

このソースコードを解析すると、感染後にDDoS攻撃のボットとしてudp flood, DNS水攻め攻撃(DNS water torture)やSYN Floodなど、複数タイプの攻撃トラフィックを送信する機能が確認できます。UDP、TCPのレイヤーだけでなく、DNS、HTTPのようにアプリケーションレイヤーを絡めた攻撃も見られます。そのため、ネットワークだけではなく、サーバーリソースも枯渇させることができる機能豊富なDDoS攻撃のためのボットネットを形成できることがわかります。

脆弱なIoTデバイスから構築されるボットネット

今回Dynの攻撃に使用されたボットネット(Miraiに感染したデバイス群)は50万台以上に上ると言われています。感染した多くのIoT機器は、ひとつひとつはカメラなど小規模な電子デバイスですが、50万台以上のデバイス群が同時にある特定のシステムに攻撃を仕掛けると非常に強力な攻撃トラフィックを生成することが可能になります。

このような攻撃の土台となる脆弱性のあるデバイスはIoTの普及とともに増える傾向にあり、DDoS攻撃のインフラが簡単に形成できてしまう結果になっています。さらに最近では、Androidアプリを踏み台にDDoS攻撃を行う、「WireX」というボットネットも登場しています。

IoTデバイスの管理者は、デバイスを脆弱性のある状態にしないこと、少なくともデフォルトのIDやパスワードでインターネットからアクセスさせないようにすることと同時に、攻撃のインフラにならないようにデバイスの状態を監視する必要があります。スマートフォンアプリの開発者も同様に、利用するAPIに気を付ける必要があります。

ダークウェブ市場で売買されるDDoS攻撃サービス

これまで説明してきたように、DDoS攻撃が増加、高度化している背景には、ダークウェブの存在があります。ダークウェブを解説するにあたり、世の中のWebサイトをアクセスの観点から3つに分類します。

まず1つは「表層(サーフェース)ウェブ」です。Googleなどの一般的な検索エンジンから検索でき、不特定多数のユーザーがアクセスできるWebサイトがこれに分類されます。

特定ユーザーにアクセスを解放しているようなサイト、検索エンジンに索引されず、アクセス先を知っているユーザーだけがアクセスできるサイトは「ディープウェブ」として分類されます。

「ダークウェブ」として分類されるのは、Tor (The onion router)やI2P (Invisible Internet Project)など、プライバシーを保護するために開発された通信を秘匿化するプロトコルを介してアクセスできるサイトです。ダークウェブ上の市場では、サービスを提供する側と利用する側の端末やIPアドレスなどを隠蔽して取引することができます。

ダークウェブでは非合法な麻薬、ポルノ、武器だけでなくDDoS攻撃のようなサイバー犯罪を支援するサービスも簡単に購入することができます。脆弱性や攻撃ツール、ウイルスなどが販売され、犯罪ビジネスの分業化が進んでいます。攻撃者にとって、専門的な知識がなくても効率的にサイバー攻撃を実施できる環境がそろっています。

またIPAから発表された「情報セキュリティ 10大脅威 2017」にも攻撃のビジネス化が9位にランクインしています。このようなサイバー犯罪の分業化が、近年サイバー攻撃や新種のウイルスが増加している背景になります。

2019年問題と2020年問題

また、日本企業にDDoS対策が求められる背景として、2019年にラグビーワールドカップ、2020年には東京オリンピックと、今後世界規模の大イベントが開催されることが挙げられます。

主義主張を唱えるためにも行われるDDoS攻撃は、大規模なイベントで実施することで、より注目度を高めることができます。加えて、いたずらや好奇心から行うDDoS攻撃も見られるでしょう。実際に、前回のリオ五輪では540Gbpsを超えるDDoS攻撃が発生しました。

そのほか、Anonymousのようなハクティビストは、オリンピックスポンサー企業や関連組織、政府、日本の有名企業をターゲットにDDoS攻撃を行う可能性があります。日本企業や組織のセキュリティ耐性を試めされる機会であり、大規模な攻撃が発生しても対処できる能力か世界から注目されます。

DDoS攻撃が目当てじゃない「スモークスクリーン」

DDoS攻撃は可用性を狙った攻撃です。しかし本来の目的ではなく、情報搾取を目的とした攻撃をカモフラージュすることもあります。DDoS攻撃は非常に目立つ攻撃であり、サービスが停止する可能性があるため人の目を向けさせることができます。その特徴を悪用し、セキュリティ管理者の気をそらし、裏では情報搾取に向けた攻撃を行います。

また、ファイアウォールなどのセキュリティ装置から多くのイベントが出力し、モニタリングの可用性を落とすことで、情報搾取のための攻撃が成功する可能性も高くなります。

デジタル化する社会インフラに忍び寄る脅威

繰り返しとなりますが、DDoS攻撃は、可用性が求められるサービスを提供する企業や組織に対して行われます。その最たるものが重要インフラを提供する組織で、電力や水道のように常に供給が必要なものは可用性が必要になります。

その可用性を狙った攻撃が発生した場合、人々の生活や命に影響を及ぼす可能性があります。例えば、フィンランドのセントラルヒートシステムが攻撃を受けた時は、住宅の暖房設備が機能しなくなりました。

このように人間の生活や命を脅かす社会インフラへの攻撃は耐性を強めることが不可欠で、可用性が高く求められるところにDDoS攻撃対策を適切に行うことは不可欠です。

また、IoTやモバイル通信の技術発展に伴い、近年デジタル化の促進が非常に進んできています。工場や受発注システムがネットワークでつながり、無駄なくタイムリーに製造ラインが動き、ものとものがつながることで、ネットワークを介した多くのサービスが産み出されています。一方、サイバー犯罪者も攻撃のための技術発展を続け、サービスや社会インフラを逆手にとります。デジタル化に合わせたセキュリティ対策を行うと共に、特にDDoS攻撃においては、攻撃に対する対策だけではなく、攻撃に加担することにならないよう注意する必要があります。

ここまでDDoS対策が必要な背景についてご説明してきましたが、次回からは実際にDDoS対策を行う上での注意点について解説していきます。

四柳 勝利（よつやなぎかつとし）

A10ネットワークス株式会社　ビジネス開発本部 ビジネスソリューション開発部 セキュリティビジネスディベロップメント＆アライアンスビジネスマネージャ
公認情報システム監査人（CISA）、Certfied Information System Security Professional (CISSP)、GIAC Certifed Intrusion Analyst (GCIA)

セキュリティーベンダーのプリンシパルアーキテクト、コンサルティングファームのシニアマネージャを経て、2016年よりA10ネットワークスのセキュリティビジネスの責任者に着任。イベントでの講演、書籍や寄稿記事の執筆などセキュリティの啓発活動にも従事。