セキュリティ専門家が夜も眠れないような、終末的なサイバーシナリオが数多くあります。インターネットの父の一人であり、現在は Google の副社長兼チーフ インターネット エバンジェリストであるヴィント サーフ氏は、2015 年にワシントン D.C. で開催されたイベントで講演し、次のように語った。「1,000 台のスマート冷蔵庫が分散型サービス拒否 (DDoS) 攻撃に使用され、米国のインフラストラクチャの重要な部分をダウンさせるために使用されたという見出しで目が覚めた。」

サーフの悪夢のシナリオはまだ起こっていません。しかし、2016 年には、侵害された数千台の監視カメラと DVR が、ドメイン ネーム サーバー プロバイダーの Dyn に対する DDoS 攻撃に使用され、米国東海岸の主要 Web サイトがダウンしました。これは大規模なインターネット障害であり、多くの人にとって真の警鐘でした。

 10 月 21 日の午前 7 時頃、Dyn は DDoS 攻撃を受けました。この攻撃は同社がこれまでに経験した DDoS 攻撃とは異なることがすぐに明らかになりました。 

この攻撃は、世界中にある Dyn の 18 か所のデータ センターすべてを標的にしており、数千万のインターネット プロトコル (IP) アドレスを混乱させ、その結果、Twitter、Amazon、Spotify、Netflix などの数百万のブランド インターネット サービスが停止されました。

2 時間後、Dyn のネットワーク オペレーション センター (NOC) チームは攻撃を軽減し、顧客へのサービスを回復しました。 

「残念ながら、その間、米国東海岸の Dyn サーバーにアクセスしていたインターネット ユーザーは、インターネットの有名ブランドの一部を含む、当社の顧客のサイトの一部にアクセスできませんでした」と Dyn の最高戦略責任者のカイル ヨークは同社への声明で述べています。 

数時間後に二度目の攻撃がディンを襲った。 Dyn は 1 時間強で攻撃を軽減しましたが、その間に一部の顧客は遅延の延長を経験しました。 Dyn は攻撃の第 3 波に見舞われましたが、顧客に影響を与えることなく攻撃を軽減することに成功しました。

「Dyn の運用チームとセキュリティ チームは、インシデント管理システムを通じて軽減策と顧客コミュニケーションのプロセスを開始しました」とヨーク氏は説明しました。 「私たちはこのようなシナリオを定期的に練習して準備しており、常に進化するハンドブックを実行し、緩和パートナーと協力してこのようなシナリオに対処します。」

ベニー G. トンプソン米国下院議員 (民主党-ミシガン州) が元米国土安全保障省 (DHS) 長官ジェー ジョンソンに宛てた書簡によると、この攻撃により推定最大 1 億 1,000 万ドルの歳入と売上が失われたという。

「DDoS 攻撃は珍しいことではありませんが、これらの攻撃は、数万台のモノのインターネット (IoT) デバイスを悪用するマルウェアによって実行されたと考えられるという点で前例のないものであっただけでなく、どう考えてもインターネットの運営に不可欠なサービスを提供する企業に対して実行されたという点でも前例のないものでした。」

これらのデバイスは Mirai ボットネットの一部であり、DVR や監視カメラを含む少なくとも 500,000 台の IoT デバイスで構成されており、これらのデバイスは中国、香港、マカオ、ベトナム、台湾、韓国、タイ、インドネシア、ブラジル、スペインなどにあることがわかっています。

2016 年に作成されたボットネットは、これまで知られている中で最大規模の DDoS 攻撃の 1 つであるセキュリティ研究者ブライアン クレブスの Web サイト「Krebs on Security」への攻撃など、注目を集め影響力の大きい DDoS 攻撃を実行するために使用されてきました。 

Arbor Networks の Security Engineering and Response Team (ASERT) の Mirai に関する脅威インテリジェンス レポートによると、「Mirai は、継続的な DDoS レンタル…サービスの基盤として機能しており、攻撃者は金銭的補償と引き換えに、通常はビットコインの支払いという形で、選択したターゲットに対して DDoS 攻撃を仕掛けることができます。」 「この記事の執筆時点で、元の Mirai ボットネットはまだアクティブに使用されていますが、複数の攻撃者が元のボットネット コードの攻撃能力をカスタマイズして改善していることが観察されており、追加の Mirai ベースの DDoS ボットネットが実際に観察されています。」

これは、Dyn 攻撃の直後、Mirai のソース コードがインターネット上で公開され、「誰もが自分の犬とそれを手に入れて、何らかの形で実行しようとしたからです」と、サイバーセキュリティ管理プロバイダーである AlienVault のセキュリティ アドボケートである Javad Malik 氏は言います。

ミライは「外に存在していますが、問題はそれに対する簡単な緩和策がないことです」とマリクは説明します。 「カメラでもウェブカメラでも、パッチを適用したり更新したりする実際の簡単な方法はありません。また、平均的なユーザーがパッチを適用できる非技術的な方法もありません。そして、ほとんどのユーザーは自分のデバイスが攻撃の一部であったことさえ認識していません。」

米国連邦取引委員会によると、現在世界中で 250 億台を超える接続デバイスが使用されており、消費財企業、自動車メーカー、医療提供者、その他の企業が IoT デバイスに投資するため、その量は 2020 年までに 500 億台に増加すると予想されています。

しかし、すでに市場に出ているデバイスの多くはセキュリティを考慮して設計されていません。多くの場合、消費者がデバイスのデフォルトのパスワードを変更したり、脆弱性を防ぐためにパッチを適用したりすることを許可していません。

Mirai ボットネットやその他の同様のボットネットは、IoT デバイスのこうした不安を利用します。 Mirai は常にデバイスの脆弱性をスキャンし、マルウェアを導入してデバイスを侵害します。セキュリティが侵害されると、それらのデバイスが他のデバイスをスキャンし、そのサイクルが続きます。これらのデバイスは、Dyn のような DDoS 攻撃を開始するために攻撃者によって使用される可能性があります。

一部のメーカーは、自社のデバイスがボットネット攻撃に使用されたことが判明した場合、自主回収を行うことでデバイスの脆弱性を修復しようとしています。しかし、他の多くのメーカーにとって、この問題に対処する十分な動機はなく、ほとんどの消費者はこの問題に気づいていないと、アーバー ネットワークスの主任セキュリティ技術者であるゲーリー ソックライダー氏は述べています。

「消費者はほとんど気づいていません。自分のデバイスが侵害されてボットネットに参加している可能性がありますが、ほとんどの消費者はそのことにまったく気づいていません。」と彼は説明します。 「彼らは、問題があるかどうかを確認する方法さえ知りません。また、インターネット接続に影響がない限り、やる気もあまりありません。」

DHS と米国国立標準技術研究所 (NIST) は両方とも最近、セキュリティが組み込まれた IoT デバイスとシステムの開発に関するガイダンスをリリースしました。実際、NIST は Dyn 攻撃に対応して、ガイダンス (特別出版物 800-160) のリリースを加速しました。

しかし一部の専門家は、指導以上のものが必要だと言う。その代わりに、デフォルトのパスワードの変更を許可し、パッチを適用し、指定された耐用期間終了期間までメーカーからサポートを受けることを IoT デバイスに義務付ける規制が必要であると彼らは述べています。

「市場はこれを解決することはできない」とハーバード大学バークマン・クライン・センター研究員のブルース・シュナイアー氏はDyn攻撃に関する議会公聴会で述べた。 「買い手と売り手は気にしていません…ですから私は、政府が関与する必要があると主張します。これは市場の失敗だと主張します。そして私が必要としているのは、適切な規制です。」

しかし、規制が問題を解決しない可能性があります。たとえば、米国が規制を発行した場合、その規制は米国で製造および販売される将来のデバイスにのみ適用されます。そして規制は別の影響を与える可能性があるとソックライダー氏は警告する。

「潜在的な問題や脆弱性を予測できる法律を制定するのは困難です」と彼は説明します。 「あまりにも曖昧にすると、コンプライアンスを徹底するのが難しくなります。また、具体的にしすぎると、望ましい効果が得られない可能性があります。」

規制がイノベーションを促進するように設計されていない場合、規制によってコストが上昇し、開発が妨げられる可能性もあります。 「コンプライアンスは必ずしもセキュリティと同等ではありません」とソックライダー氏は言います。 「コンプライアンスの一環として、製品やサービス、ネットワークを保護するための措置を講じる必要があるかもしれませんが、カバーされていない脆弱性が常に存在する可能性があります…。単なるコンプライアンスを超えて、可能な限り真のセキュリティをカバーしていることに注意する必要があります。」 

それでは、デバイスが侵害され、無実の当事者に対する攻撃に使用されるリスクを軽減するために、組織は当面どのような措置を講じるべきでしょうか?

企業の施設内にセキュリティ カメラやアクセス コントロール カード リーダーなどの IoT デバイスがすでに設置されている場合、最初のステップはセグメンテーションです、とセキュリティ ベンダー BeyondTrust のテクノロジー担当バイスプレジデントである Morey Haber 氏は述べています。 

「メイン ネットワークからそれらを削除してください」と彼は付け加えました。 「完全に隔離されたネットワーク上にそれらを保持し、それらへのアクセスを制御します。それが最善の手段です。」

組織がそれを行うことができず、PCI コンプライアンスの対象となる金融会社など、厳しく規制された環境にある場合は、デバイスを交換し、セグメント化されたネットワークに再インストールする必要があるとハーバー氏は言います。

組織は、IoT デバイスのデフォルトのユーザー アカウントとパスワードもすべて変更する必要がある、と Sockrider 氏は言います。 「可能であれば無効にしてください。できない場合は変更してください。変更できない場合はブロックしてください。」

IoT デバイスの設置を検討している組織について、ハーバー氏は、IoT デバイスをセグメント化されたネットワーク上に設置する計画を立て、デバイスのセキュリティについてインテグレーターに尋ねるべきだと述べています。 

質問の例は次のとおりです: 重大な脆弱性に対するサービス レベル アグリーメントを維持していますか?デバイスの寿命はどれくらいですか?パッチはどれくらいの頻度でリリースされますか? 

「そして最後にさらに重要になるのは、更新の手順は何ですか?」ハーバー氏は言う。 「なぜなら、物理的に各カメラにアクセスしてバイナリを保存した SD カードを差し込んでアップロードする必要がある場合、世界中の小売店に配布するために何千台ものカメラを購入する場合、それは現実的ではありません。そんなことをする方法はありません。」

組織は、従業員が自分のデバイスを職場に持ち込むことを許可し、ネットワークに接続することを許可することに関するポリシーも検討する必要があります。 

たとえば、新しいトースターを持ち込んだ従業員が誰にも気づかれずに会社の Wi-Fi に接続した場合、雇用主は注意する必要があります。 「IoT デバイスを使用したこの種のシャドー IT は、高いリスクの原因となります」とハーバー氏は説明します。 

また、組織は、ネットワーク外への内部トラフィックをブロックするために何ができるかを検討する必要もあります。 

「逆に考えてみましょう。通常、私たちはネットワークから悪いものを排除しようとしますが、この場合は、悪いものがネットワークから出ないようにする必要があります。」と Sockrider 氏は言います。 「なぜなら、この場合、ネットワーク上の IoT デバイスが危険にさらされた場合、そのデバイスは必ずしもあなたを攻撃しようとしているわけではなく、他の誰かを攻撃しようとしているからです。そのアウトバウンド トラフィックをブロックし、そのような攻撃を阻止することで、あなたは善良な市民になることができます。」

企業は自社のデバイスがボットネットによって侵害され、他の企業への攻撃に使用される可能性を減らすための措置を講じることはできますが、Dyn 攻撃のような攻撃は今後も続く可能性が高いとマリク氏は言います。

「おそらく今後は、これらの攻撃のより創造的な方法が見られるだけでしょう」と彼は説明します。 「現時点では、主にウェブカメラと DVR が攻撃対象となっていますが、おそらく特定のデバイスに合わせたさまざまな攻撃が見られることになるでしょう。また、戦術の変更もあるかもしれません。Dyn を追うのではなく…小規模な競合他社を倒すことです。」

マリク氏はまた、サイバー犯罪者が、過去数年間で成長している業界である DDoS をサービスとして購入することで、このようなより創造的な攻撃を実行すると予想しているとも述べています。 

「一部のプロバイダーは、プロの正規サービスと同等か、それ以上に優れています」とマリク氏は言います。 「とても簡単です。彼らはサポートを提供します。そこに行って、購入をクリックし、ビットコインを送信し、ターゲットを入力すれば、作業は完了します。これを行うには技術的な専門知識さえ必要ありません。非常に便利です。」