セキュリティプラットフォーム

あなたのIoT機器をボットネットの奴隷にしてはならない

次の記事

アプリ上でアクセサリーをデザインして販売——モノづくりマーケットの「monomy」が正式ローンチ

【編集部注】著者のBen Dickson氏はソフトウェアエンジニア兼フリーランスライターである。ビジネス、技術、政治について定期的に寄稿している。

 

デラウェア州に本社を置く実店舗を持つある宝石店は、最近起きた多段DDoS攻撃(サーバーに大量のリクエストを送りつけダウンさせる攻撃)をしのいだ後、オンラインリソースへのアクセスができなくなった。

DDoS攻撃は目新しいものではないが、 このDDoS攻撃はIoTデバイスだけが使われたことに特徴がある。この特定の攻撃の背後に控えた元凶は、感染した25000台のCCTVカメラで構成されるボットネットだった 、これらは高帯域接続で武装し世界に散らばっていた。

IoTボットネットの増加は2016年のサイバーセキュリティのトレンドのひとつとして予測されており 、デラウェア州の宝石店のエピソードの背後にある技術的な詳細は、 IoTボットネットがいかに危険かに注意を向けされる例のひとつである。日々無防備なIoT デバイスがインターネットに接続することを受けて 、悪質なボットのオーナーはそのゾンビマシンによる不死なる忠実な軍隊の中にやすやすと新人を徴兵して行く – 彼らの次の目標は、あなたの家のスマート冷蔵庫、電球、ポット、またはドアロックになるかもしれない。

ここでは、 IoTボットネットについて知っておく必要があることと、この迫り来る脅威と戦うために何ができるかを解説する。

なぜIoTデバイスがボットネットの魅力的な標的なのか?

いまや常識になってきているように、IoTデバイスへの感染障壁は、PCやスマートフォンなどの汎用コンピューティングデバイスよりもはるかに低いものである。「パーソナルコンピュータやサーバーとは異なり、ほとんどのIoTデバイスは十分に保護されていないか、あるいは全く保護されていないのです」と語るのはサイバーセキュリティ会社Imperva IncapsulaのシニアマネージャーであるIgAl Zeifmanだ。「その多くが高速ブロードバンドに接続され、通常のコンピュータのような処理機能の多くを保有しているという事実にもかかわらずです」。

Imperva IncapsulaはIoTボットネットの迫り来る脅威について、2014年3月という早い時期から、何度も警告を出してきたことで有名である。

ZeifmanはCCTVカメラとウェブカメラは特別に注意を払うべきであると考えている。他の専門家によって行われた仕事がZeifmanの意見を裏付けている。Arbor Networksの研究者が最近、さほど有名ではないボットネットマルウェアのLizardStresserのコードが、IoTデバイスに感染させられたサイバー犯罪を発見した。インターネットに接続されたカメラのうち、対象となるデバイスの90パーセントが感染していたのである。研究者の一人Matthew Bingは、そのブログの記事の中で、銀行、ゲームサイト、ISPや政府機関に対するDDoS攻撃を行うために使われている、ボットネットノードが利用可能な累積帯域幅は、400 Gbpsに達していると述べている。

「不正なパケットがあったかどうかをチェックするために、最後に電球にログインしてtcpdumpを実行したのはいつですか?」

— Deepindher Singh

問題のいくつかはIoTデバイスを特徴づける固有の限界に由来している。「自身を保護するための、アンチマルウェア、アンチウイルス、そしてファイアウォールなどの実行は、デバイス自身の制約によって難しいので、伝統的なITセキュリティ手段をIoTデバイスに配備することが難しいのです」と語るのは、Subexのビジネス開発エキスパートであるPreetham Naikである。ここで言うデバイス自身の制約とは、計算能力や記憶容量の制限、ならびに例えばLinuxなどの既知のオペレーティングシステムの、機能縮小バージョンの利用を含むものである。

Zeifmanが指摘するように、高度なコンピューティング機能、高い接続性、そして貧弱なセキュリティの組み合わせは、IoTデバイスを「 ボットネット採用担当者のための理想的な候補者」にする。

また、IoTデバイスのほぼ自律的な性質も関連している。「基本的な問題は、ほとんどのIoTデバイスは特定の機能を実行することを意図されている『物』であるということなのです」こう語るのはIoTメーカー75Fの創業者兼CEOのDeepindher Singhである。「一度設定してしまうと、私たちはそれらが実際にインターネットに接続されていることや、攻撃に対して実際には脆弱であることを忘れがちなのです」。

それぞれのデバイスをモニタする方法がそもそもないか、とても面倒なウェブブラウザーまたはアプリを使ったアクセス方法の例を挙げながら、こうした限られたユーザインタフェースも、IoTデバイスが見過ごされがちな別の要因であると、Singhは信じている。「不正なパケットがあったかどうかをチェックするために、最後に電球にログインしてtcpdumpを実行したのはいつですか?」と彼は問いかける。

メーカーと消費者の両者に責任がある

変わらないIoTの制約だけが原因でもない。クラウドセキュリティ会社ZscalerのEMEA(欧州、中東、アフリカ)地域のCISO(最高情報セキュリティ責任者)であるChris Hodsonが、SC Magazineで詳細に解説しているように、IoTデバイスのセキュリティ開発ライフサイクルは、しばしば厳しい市場投入までの時間やハードウェアのコストの制約によって、さっと片付けられたりバイパスされたりする。

「メーカーは手頃な価格で利益率を向上させるハードウェアコンポーネントを探しています」とHodsonは語る。「IoTデバイスの中にある、安価で軽量コンポーネントには、しばしば単にハードウェアがサポートできないという理由で、たとえば暗号化などの、基本的なセキュリティサービスの提供をしないものがあるのです」。

SubexのNaikは、メーカーが開発ポリシーとして「設計段階からのセキュリティ」を採用する必要性を強調している。「IoTデバイスが普通のIT機器よりも遥かに長期にわたって使われ続けることを考慮するなら」と彼は語る。「デバイスにパッチを当て保守することができる機能が、設計上の考慮としてとても重要になります」。Nikeはまた、メーカーがIoT製品に、サードパーティのコンポーネントを統合する際には、細心の注意を払って検討するべきだと強調している。オーストリアを拠点とするコンサルティング会社SECによって昨年の11月に公開されたレポートは、評価を受けていないコンポーネントがデバイス再利用される際の、セキュリティ上の懸念に光を当てている。

prpl財団のチーフセキュリティストラテジスト、Cesare GarlatiはIoTセキュリティがハードウェアやチップレベルで組み込まれている必要性を強調し、「そうしたパッチ当てが、管理者の優先リストに載っていない」という事実を指摘している。

防御者は全てのすべての穴を塞ぐ必要がある ‐ 攻撃者は1つ見つければよいだけだ。

GalartiのコメントもまたIoTボットネットの成長へとつながる別問題への警告である、それはIoTセキュリティに対する消費者の大いなる無関心だ

例えばLizardStresserボットネットはShodan検索エンジンで見つかったデバイスに対してディフォルト管理アカウントでの侵入を試みる、ほとんどの消費者はIoTデバイスのデフォルトの工場出荷時の設定変更を行わないため、これはたまたま上手く行っているとはいえ、とても有効な戦術である。

消費者がセキュリティにかかる手間を歓迎していないため、ベンダーはよりセキュアな製品をつくるための動機を与えられていない。「ベンダーたちは、この状況を変えようとしていますが、それにはコストがかかります」と語るのはFraunhofer Instituteの研究者、Steffen Wendzelである。「顧客がセキュリティに対して支払わないために、彼らは真の利益を得ることもできないのです」Wendzel共著の研究論文では、IoTの開発と利用のサイクルに関わる様々な当事者たちの意識の欠如が、いかに欠陥のある製品の生産につながるのかについてを説明している。

ZScalerのHodsonさらに、この点を「セキュリティがハードウェアの開発ライフサイクルの中に埋め込まれていることを、消費者たちが要求するまで、メーカーはその開発手法を変更する圧力を感じないでしょう」と、述べている。

メーカーが消費者を教育し、より厳しいセキュリティポリシーを強制することによって、ダメージの一部を制御することができるだろうと、Zeifmanは示唆している「例えば、より優れたパスワード管理ポリシーと定期的なファームウェアアップデートを実装するなど、もっとできることがあります」。

Naikは、ベンダーは複雑なパスワードを自社製品への要件にするべきであることを強調しつつ、この意見に同意している。「顧客は、パスワードの変更を強制されるべきで、かつ頻繁に変更すべきだ」と付け加えた。

IoTボットネットは単なるHTTP攻撃以上のものだ

現在大部分のIoTボットネットは、ウェブサーバーとアプリケーションサーバを標的としているが、それらをはるかに破壊的に利用することもできる。

クラウドのパワーとは、その弾力性と、進化しIoTボットネットの脅威を克服すために変化に適応する能力である。

「私はIoTボットネットの究極の目標は、スパムを送信することではないと思っています」とWendzel(Fraunhoferの研究者)は述べる。「その代わり、対象の物理的能力を実際に利用するのでなければあまり意味はないのです。環境データを集める(監視を行う)とか、環境に作用を及ぼす(物理的なアクションを実行する)とかですね。これこそが、IoTボットネットが従来のボットネットよりも遥かに深刻である理由なのです」。論文では、この件に関して彼はさらに詳しい説明を行っている。

「例えば、スマートシティ/リージョンのローカルプロバイダとして、石油やガスを販売している場合、その都市のスマートハウスを攻撃することができるのです」とWendzelは語る。「そうすれば、暖房のレベルを上げることもできます。その結果人々はより多くの石油/ガスを必要として、ほどなくもう一度あなたの石油/ガスを買うことになるでしょう」。

何がIoTボットネットから守ってくれるのか

例えばパスワードの変更とか不要な機能をオフにするといった、一般的な方針IoTセキュリティのための実践は、ディフォルト認証で力任せにスキャンするといった基本的(しかし効率的)な脅威に対する防御のためにはとても役立つ。

しかし、IoTボットネットの増加と歩調を合わせて、保護されていない脆弱なのIoTデバイスを標的として籠絡し、より高度な防衛措置が必要となる大規模なDDoS攻撃に使うための、より洗練された手法を、攻撃者は開発して来ている。

「このような攻撃の緩和策は、ネットワーキングとコンピューティングリソースをスケールアップすることと、悪質な訪問者を排除するために入力トラフィックを正確に分析することの、両方の能力に依存しています」とImperva IncapsulaのZeifmanは語りつつ、こうしたことはオンプレミスセキュリティツールではなく、クラウドベースのセキュリティソリューションを介して達成することができると考えていると述べた。

Imperva Incapsulaのクラウドセキュリティプラットフォームは、Zeifmanの説明によれば、入力トラフィックを検査し、その振る舞いや、特徴、IP履歴そして数百万のエンドポイントから収集した情報との相互チェックを経て、脅威を識別するための複数の機能を同時に実行するために、クラウドのパワーを活用するものである。プラットフォームは、ウェブアプリケーションファイアウォール(WAF)やDDoS軽減システムを含む、複数のスケーラブルなコンポーネントで構成されている。

クラウドのパワーとは、その弾力性と、進化しIoTボットネットの脅威を克服すために変化に適応する能力である。「検出方法は、犯罪者が利用できるさまざまな攻撃ベクトルのように柔軟に変化させています」とZeifman氏は語る。「 IoTボットネットが進化するにつれて、セキュリティソリューションも進化しています。これはしばしば『猫と鼠の無限のゲーム』と表現されます」。

Subexのネットワーク監視プラットフォームは、特徴、ヒューリスティック、異常検出に基づく、3層の防御機構を介してIoTボットネットからの保護を行う。Naikによれば、新たな脅威の特徴は異なるIoTデバイスアーキテクチャをカバーするIoTハニーポットネットワークによって検出される;異常は、送信の周期性、ペイロードサイズ、プロトコルやポートなどのパラメータに基づいて、個々のデバイスの動作をプロファイリングすることによって識別される; IoT生態系への侵入は、統合された侵入検知システム(IDS)によって検出される;そして、 IoTウェブインタフェースは、WAFを介して保護される。

75FのSinghは開発元での正しい設計と開発ポリシーを強制することによって、IoTボットネットの広がりは食い止められるべきだと考えている。彼のスタートアップは、彼が次のように表現するパラダイムに焦点を当てている「すべてのオンプレミスデバイスを保護する 、セキュアゲートウェイを持つ」。IoTゲートウェイはセキュリティソリューションを実行するための高い能力を持ち、限られた計算リソースしか持たないIoTデバイスへの保護層を追加することができる。

75Fはまた、リモートTCPによるアクセスの必要性を最小限に抑えるために、デバイスおよびゲートウェイにタッチスクリーンやLCDディスプレイなどのUXモジュールを追加している。リモートアクセスが必要な場合には、ブルートフォース攻撃から保護するために、セットアッププロセスの一部として、固有のパスワードが生成される。

75Fは、出荷を急がず、その代わりにデバイスを徹底的に検証しテストする。これによって、ハッカーによって悪用される可能性のある無線(OTA-over-the-air)更新機構の必要性がなくなる、とSinghは説明する。

結局のところIoTボットネットはとりわけ脅威的な存在である。他のサイバーセキュリティーの脅威と同様に、防御者は全てのすべての穴を塞ぐ必要がある ‐ 攻撃者は1つ見つければよいだけだ。よって、IoTボットネットが、今そこにある危機になるに連れ、脅威を止めることができるのは、消費者、メーカー、ITプロフェッショナルを巻き込んだ皆の協調した努力にかかっているのだ。

[ 原文へ ]
(翻訳:Sako)