インターネットを蝕む大規模DDoS攻撃

cyber-security-data-phone1

編集部注: 本稿はForeScoutのCEOであるMichael DeCesareによって執筆された。

 

金曜日の朝に目が覚めると、私たちの会社で全社的に利用しているシングル・サインオンとクラウドストレージが機能しなくなっていることに気がついた。ドメインホストであるDynに対する分散型サービス妨害(DDos)攻撃が原因だ。

この攻撃はとても大規模だった。SpotifyやNetflixなどの消費者向けサービスだけでなく、HerokuやZendeskなどの企業向けプロバイダーが提供するサービスも機能しなくなっていた。騒動はひとまず一段落したが、こうしたサイバー攻撃はこれからもっと大勢の人々に、そしてこれまでにない程の影響を与える可能性がある。

DoS攻撃とは、ネットワーク上のサービスを機能停止の状態に追い込むことを目的としたサイバー攻撃だ。そのような攻撃が複数のIPアドレスやマシンによって行われることを分散型サービス妨害(DDoS)と呼ぶ。標的となったコンピューターは大量の処理負荷に耐え切れずに機能が停止してしまうのだ。

ここ数週間のあいだ、ハッカーたちはこのDDoS攻撃を大規模に行ってきた。KrebsonSecurity.comへの攻撃から始まった一連の騒動はその深刻さを増していき、何千ものデバイスによってDDoS攻撃が行われるようになった。サイバー攻撃の規模は回を重ねるごとに大きくなっていったのだ。

これはまだ確実ではないが、私が金曜日の朝に経験したサイバー攻撃もこの一連のDDoS攻撃の一部であった可能性が高く、しかもその攻撃に利用されたのはコンピューターやサーバーではなく、IoTデバイスだったのだ。

実際、Dynへの攻撃には多数の監視カメラが利用された可能性が高い。なぜ監視カメラなのか?なぜなら、世界中の家庭や企業で使われている監視カメラの多くは、数社の企業によって開発された同じファームウェア、またはそれによく似たファームウェアが組み込まれているからだ。

Courtesy of Getty Images/Frank Graessel / EyeEm

Courtesy of Getty Images/Frank Graessel / EyeEm

今ではこのファームウェアに深刻な脆弱性が存在することが知られており、その脆弱性を利用することで監視カメラのようなデバイスがDynのような標的に銃口を向けることになる。さらに、そのような監視カメラの多くではデフォルトの認証設定がそのまま使用されており、ハッカーたちにとっては恰好の餌食となる。

なぜこれが重大な問題なのだろうか?今回のサイバー攻撃のように、ビデオカメラを利用すればこれまでとは比較にならないほど簡単に、そして安価に大規模なボットネットを構築することができる。もはや、DDoS攻撃を開始するためにボットネットを調達する必要すらない。数週間前にインターネット上にアップされたプログラムを使えば、ハッカーたちはボットネットを自分たちで構築することができてしまうのだ。

また、IoTデバイスの脆弱性が引き起こす問題はDDoS攻撃だけではない。ハッカーがIoTデバイスを利用すれば、企業のファイアーウォールを攻略することも可能になってしまう。

これが重大な問題だと言われる理由はもう1つある。大方の推測によれば、現存するIoTデバイスでは今回のようなサイバー攻撃から身を守る体制がまったくとれていない。政府や企業がIoTデバイスのセキュリティー強化に取り組んではいるものの、それにはいくつかの課題がある。その中でも特に大きな課題なのが、従来のサイバーセキュリティソフトをIoTデバイスに搭載することができないという問題だ。

結果として、IoTデバイスを保護するセキュリティソフトの数は従来のOSを搭載するコンピューター向けのものと比べても少ない。パッチをあててプログラムを修正できるIoTデバイスもあるが、それができないものもある。パッチをあてることができないデバイスの場合には手動でセキュリティ対策をする必要があるが、通常それが行われることはない。

この問題に対する解決策とはなにか?この問題もサイバーセキュリティに関する問題である以上、それに対する単純な解決策など存在しない。たとえIoTデバイスであっても、サイバーセキュリティに関する基本的な教えを適応する必要がある。つまり、多重防護だ。IoTデバイスにもパッチをあてられるようにするなど、現時点で認識されている課題を解決するだけでは不十分だ。それだけでなく、はたしてそのデバイスは厳重なセキュリティソフトによって守られているのか、そして不穏な動きを常にモニタリングする体制は整っているのかということを常に問い続けていかなければならない。

それぞれのアプローチがもつメリットやデメリットについて議論をすることはできる。しかし、本当に重要なのは、ある1つのアプローチだけを考えて視野を狭めるのではなく、考え得るかぎりのアプローチやセキュリティ方法を検討するということなのだ。

IoTのネットワークを保護するために、わざわざ一から技術を開発し直す必要はない。しかし、IoTデバイスを利用した大規模なDDoS攻撃がインターネットの信頼性とそれがもつ機能を少しずつ傷つけていることは認識しなければならない。経済全体がインターネットに依存している今、ハッカーに対する防衛策について真剣に話し合うべき時が来ている。そのためには、IoTデバイスがハッカーたちの銃弾として利用されることを防ぐ方法をまず考えなければならないのだ。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。