10/25/2016

[IT biz] あまりにも容易なIoT機器乗っ取りによるDDoS攻撃の脅威

先週、TwitterやSpotify等のサービスが大規模かつ長時間に渡りダウンした件の原因というか、DDoS攻撃で利用された主要経路が判明したそうです。

一言で言えば、ネットワークWebカメラが大量に乗っ取られ、一斉にDNSリクエストを発信する方法が採られた、とのこと。問題のカメラは、中国はHangzhou Xiongmai製であり、本件攻撃に利用された事が判明した結果、今週に入って該当製品のリコールも発表されたそうです。他にも似たような脆弱性のある機器は幾つもあっただろうし、実際他の機器も多少なりと含まれていたというのに、何故かその主要ターゲットに選ばれてしまった哀れなXiongmai社には御愁傷様というしかないところですが、それは兎も角。

利用された理由は簡単、デフォルトのパスワードが容易に推測出来るもので、かつユーザに変更を促す事もしていなかったため、簡単かつ大量に乗っ取る事が出来たから、だそうで。特別な技術も何もありませんね。単に虱潰しに機器を探し、ログインを試み続けていればいいわけですから、攻撃者からすれば楽なものだっただろう事は容易に想像されます。

一応、この種のネットワークに接続するタイプのWebカメラは、全体から見ればさほど普及しているというわけではなく、数もそうですが、探すのにはそれなりの手間もかかる筈ですが、今回の攻撃に利用されたデバイスの数は数千、その程度の数を満たすには十分であり、またWebカメラの権限などはまずユーザは一々チェックせず、従って発覚もし難いため、ある程度時間を掛けて本件攻撃に必要となる程度の数を揃える事も容易く、丁度良かったという事なのでしょう。

しかし、高々数千程度でDNSを機能不全に陥らせる事が出来てしまう、というのはやはり看過し難く思われるところです。とりわけIoTの普及に伴い、本件Webカメラ類似のネットワーク通信機能を備え、かつ滅多にチェックも管理もされないだろうデバイスがこれから増加する事が見込まれるところ、当然ながらそれらのIoT機器も同様に乗っ取り・悪用の対象となり得る事は明白なわけで。

本件メーカーのした対応のようにいくらパスワードの変更を呼びかけても、それに応じない向きはどうしても相当割合残る事も間違いないだろうし、数千どころか、将来的には母数が数億のオーダーに上る事も普通に想定されるIoT機器のうち、0.1%程度が脆弱なだけで本件同様の攻撃が実現出来てしまう計算になるのだから、実際のところ極めて解決が困難で深刻な問題と言えるかもしれません。

個々のIoT機器をメーカーが責任を持って遠隔から管理する、というのも解決策の候補としてはあり得るでしょうけれど、遠隔管理するコストも相当なものになって、法人向けならいざ知らず、個人等一般向けの安価なカテゴリの機器には導入出来ないだろうし、サポート期間切れの場合や、そもそもメーカー自体が消える場合もあるでしょうから、根本的な解決にはならないだろう事も明らかです。さしあたりこれといった有効な解決策というのは見当たらないように思われるところ、さてどうするんでしょう。DNSの仕様変更とか根本的な方式面での対策が出来ればいいんでしょうが、流石に無茶もいいところだろうし、やっぱりどうしようもないですかね?うーん。

(補足?)

何か、報道の中には、本件攻撃で数千万件のIPアドレスから攻撃があった、とかいう情報が流れているようですが。今回利用されたとされるMiraiによるbotnetの規模は、トラッカーの計測結果では大多数を占めるオフラインのものを含めても150万台程度とされていて、どう考えても桁が合いません。一体どういうことなんでしょう。通常のアクセスを攻撃と混同しているとかそういう事なんでしょうか?それとも、トラッカーが把握出来ていない範囲の方が圧倒的に広いという事なんでしょうか。謎です。

(補足?その2)

上記のIPアドレス量の不自然な多さは、やはり正規アクセスと攻撃を区別出来ず両方カウントしている事によるもののようです。具体的には、本件攻撃で接続が不安定になり、それによって正規のDNSリクエストがリトライを繰り返したものと推測される分が含まれていた、と。これら正規のアクセスをサーバ側では悪意の攻撃と区別出来ず、その結果、関与したIPアドレスが数千万、というような表現になったらしいですね。紛らわしい事です。

Webcams used to attack Reddit and Twitter recalled