IoT機器に迫るセキュリティ脅威を体感できる

横浜国立大学と、ソフトバンクグループのBBソフトサービス(以下、BBSS)は、IoT機器を狙ったサイバーセキュリティ脅威の一般消費者への影響を調査する共同研究プロジェクトの成果について中間発表を行った。

共同プロジェクトでは、2017年7月1日~9月30日にかけてハニーポットによるサイバー攻撃の状況を観測した。その結果、7月~9月の間に1日約2.2~3.9万IPアドレスからのアクセス(アクセスホスト数)、1日約1.6万~2.9万IPアドレスからの不正な侵入(攻撃ホスト数)を観測した。

さらに攻撃ホストの状況を分析すると、8月の増加はメキシコにおける攻撃ホストの急増に原因があることが判明した。7月には観測されなかったルーター製品などからの攻撃が確認され、その機器がメキシコにて大量感染した恐れがあるという。また、8月に日本国内の特定ISPにおける攻撃ホストの急増も観測された。いずれも該当するエリアやネットワーク内において、多く使用されるネット接続デバイスのIoTマルウェア感染があったものとBBSSでは予測する。

共同研究プロジェクトでは将来予測のために、研究施設で使用するネットワーク機器やIoT機器を対象に実在マルウェアによる攻撃や脆弱性の調査を行い、可能性が考えられる攻撃手法を独自に研究している。これまで、家庭内ネットワークのサービス妨害(DoS)攻撃、マルウェアによるスマート電源の不正な遠隔操作などの攻撃手法をデモンストレーションとして公開してきた。今回、新たな研究成果として2種の擬似攻撃に関するデモンストレーションビデオを発表した。

(1)IoTランサム攻撃(身代金を要求する攻撃)
家庭内のルーターを不正に操作し、インターネットの接続先を攻撃者が用意した不正なWebサーバへ強制転送させる攻撃デモンストレーション。攻撃者がコマンドを実行すると、スマートテレビやスマートフォン、PCのブラウザやアプリが外部のインターネットサービスに接続する際に、攻撃者が用意した罰金支払いの警告メッセージを読み込み、画面に表示する。利用者は原因を知ることができず、PCやスマホのセキュリティソフトでも検知することができないため、騙されて警告に従い罰金を支払う可能性がある。

(2)スマートリモコンの不正な遠隔操作
家庭内のスマートリモコンの脆弱性を利用し、正規のスマートフォンアプリを使用せずに、家庭内のエアコンの操作を実行する攻撃デモンストレーション。エアコンや暖房機器などの熱を発する電化製品が不正な遠隔操作をされた場合、生活者の健康被害につながる可能性もある。

BBSSによると、これらのデモンストレーションは、現実的なシナリオで擬似攻撃を行っており、IoT機器の多くは攻撃者が家庭内に侵入した場合を想定して設計されておらず、脅威に対して無防備であることを示していると報告する。