強制的に徴用されたIoT機器の「軍団」がオンラインサービスを停止させるために使われている。しかも軍団は規模を増しており、傭兵のように金で雇える。
IoTボットネット(大量のデータを一気にサーバーに送信してサービスを停止に追い込む、ハッカーの支配下にある機器の集まり)は、最近発生したいくつかのインターネット障害の原因だ。特に、ドメイン名システム「ダイン(Dyn)」のサーバーが11月に停止した事件では、米国東海岸の広い範囲でインターネットアクセスに支障が生じた。
しかもハッカーは、ボットネット軍団を拡大し、有料サービスを提供しようとしている。こうなると今後の攻撃はより深刻になり得る。
ドイツテレコム(Deutsche Telekom)の報告によれば、今週、同社のルーターをボットネット機器として徴用しようとしたが失敗に終わり、100万人近い顧客がインターネットを使えなくなった。マザーボードの取材を受けた独立系セキュリティ研究者の話では、IoTボットネットに使われた機器の総数は、現在50万台を上回る可能性があるという。
今月初めのアース・テクニカの記事によれば、新しいボットネットソフトは、5日間で3500台の機器を乗っ取れるという。ただし、どのくらいのペースでシステムが成長し続けるかは不明だ。現在、ハッカーが使うほとんどの機器は、簡単に不正アクセスできる安全性に乏しい旧型のハードウェアだと考えられる。最新のスマート・ホーム機器をIoTボットネットに加えるのは不可能ではないだろうが、難易度が高く、時間がかかるかもしれない。
一方で、一部のハッカーはIoTボットネットを収益化しようとしている。10月にフォーブズ誌は10万台の機器で構成されるシステムが7500ドルで使用できると伝えた。そして今度は、別の二人組みのハッカーが有料で利用できるボットネットを作り、40万台もの機器を抱えるボットネットは、大規模サーバー並みの機能を果たすと主張した。セキュリティ情報サイト「ブリーピング・コンピューター」は、5万台による攻撃は3000~4000ドル程度の料金がかかると伝えている。
ブリーピング・コンピューターによると、研究グループは、40万台で構成されるボットネット(11月初めにリベリアをオフラインしようとしたボットネットと同じと考えられる)を構築するのに使われた最新版のマルウェアに、新機能が隠されていることに気付いたという。利用する機器に偽IPアドレスを割り当てられるようで、この機能が使われるとIPアドレス単位でブロックしにくくなる。
今年はじめ、セキュリティ専門家のブルース・シュナイアーは、誰かが、どこかで、こうした種類の攻撃により「インターネットを停止させる方法を学んでいる」と主張した。11月、こうした脅威に関する米国議会の聴聞会で、シュナイアーは政府の介入を訴え「市場がこの問題を解決するのは本当に無理です(略)政府が手を貸す必要があります。私が必要だと思っているのは、効果的な規制です」と述べた。
ハッカーは、自分たちが苦労して築いたボットネットの大群を利用することに興味を持ちそうな勢力があると気付いており、簡単にはなくならない。ボットネットの一掃に手を打たないと、シュナイアーの終末論的な予測が実現してしまうかもしれない。
(関連記事:Reuters, Motherboard, Bleeping Computer, “IoT機器100万台による初の大規模DoS攻撃,” “21日の大規模インターネット障害に、次の本格攻撃の試験の可能性,” “フィリップス・ヒューは遠隔操作可能と判明”)