Botの脅威!
IoT機器を踏み台にする新たなボットネットも登場

Share

いろいろな場面で「ボット(Bot)」という言葉を耳にします。今回の記事では、仕事や暮らしを便利にする「良いボット」ではなく、感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用される「悪いボット」について、その感染経路や、攻撃活動の種類、感染予防の対策などを解説します。また、近年問題になっているIoT機器に感染するボットの被害事例を紹介し、IoT機器のメーカーやユーザが実施すべき対策について考えます。

ボット(Bot)とは

「ボット」とは「ロボット」に由来する言葉で、特定の作業を自動で行うプログラムやアプリケーション、機器のことです。iPhoneに搭載されたSiriなどのチャットボットが身近な例として挙げられます。いずれのボットも、プログラムに従ってアルゴリズムやAIで判断を行い、定められたタスクを実行します。

人間の手間を減らし生活を便利にするのが本来のボットの役割ですが、サイバーセキュリティの世界には、コンピュータやネットワークに脅威を与える「悪いボット」がたくさん存在します。ひょっとしたら、この記事を読んでいるあなたのPCの中にも「悪いボット」が隠れているかもしれません。

マルウェア、ウイルスとボットの違い

ボットはマルウェア、ウイルスの一種です。「『マルウェア』とは何か?」の記事で説明したトロイの木馬と同様に、感染したPCにバックドアを作り、PCを外部から遠隔操作可能な状態にします。PCのユーザは感染に気づかないことが多く、ボットオーナーの意のままにPCが操られます。

感染端末への外部からの遠隔操作は、C&C(シー・アンド・シー)またはC2(シー・ツー)などと呼ばれるサーバを通じて行います(C&C、C2とは「Command and Control:指示と制御」の略です)。

ボットウイルスに感染した端末を「ゾンビPC」と呼ぶこともあります。たとえばDDoS攻撃などに悪用されるボット化した大量のPCのイメージが、ホラー映画に登場するゾンビの群れに似ていることから名付けられたと言われています。

ボットの予防対策と感染経路、検知、駆除

ボットの感染対象は、近年PCだけでなく、スマホやIoT機器にまで及んでいます。感染経路は通常のマルウェアと変わりません。PCやスマホの場合はメールの添付ファイル、URLのクリック、Webサイトの閲覧で感染することもあります。

ボット感染の予防対策は、PCやスマホについてはOSやソフトを最新の状態にアップデートしたり、アンチウイルスソフトを最新の状態にすることが求められます。これも通常のマルウェア対策と変わりません。アンチウイルスにパターンファイルが存在するボットであるなら、検知して駆除することができます。また、「ランサムウェア」の記事で説明したEDRを使うことで、ボットによって実行される攻撃活動を検知できる場合もあります。

しかし、どんなに対策をとっていたとしても、亜種が次々と開発され、攻撃手法も変化し、常にすべてを防げるとは限らない点も通常のマルウェアと一緒です。

スパム送信やDDoS攻撃、ボットの活動の種類

ボットは、宿主であるPCなどの機器のインターネット接続とCPU資源を用いて、スパムメール送信やDDoS攻撃など、コンピュータとインターネットにおけるさまざまな反社会的活動を行います。近年は、スマホアプリの中で動作し、不正や詐欺などを行うボットも存在します。

ボット化した端末が大量に集められ、制御下におかれた状態を「ボットネット」「ボットネットワーク」と呼びます。ボットネットは、スパムメール送信やDDoS攻撃など、規模がものを言うサイバー攻撃のインフラとして悪用されます。単なるトロイの木馬とボットとの違いは、このボットネットを形成するかどうかという点にあります。

近年、IoT機器に感染を広げ形成される、大規模なボットネットが問題となっています。

なぜボットはPCだけではなくIoT機器を狙うようになったのか

2016年、当時セキュリティの歴史上最大と言われたDDoS攻撃を行ったのが、「Mirai」と呼ばれるマルウェアによって形成されたボットネットでした。Miraiの特徴は、ネットワークカメラやルータなど、家庭内のIoT機器を主要ターゲットとしていたことです。なぜ家庭内のIoT機器が狙われたのでしょう。

それは、IoT機器がPCなどと比較して、1)工場出荷時のままで使用されることが多い、2)PCより圧倒的に台数が多い、3)外部からの接続を許容することが多い、という3条件がそろっていることが背景にあります。これらの条件がそろうと、犯罪者は単一の手法で一気に大量の機器を感染させることが可能となり、大規模なDDoS攻撃などを成立させることができるのです。

IoTボットの感染経路:Miraiの場合

悪名高いMiraiマルウェアの場合、Telnetに割り当てられるTCPの23番ポートが開いていないか探索したり、管理画面に辞書攻撃(「ブルートフォース攻撃」の記事を参照)などを行って不正にログインするなどして、ボットがインストールされました。

しかし、これらの感染経路や攻撃の特徴も、日々アップデートされ変化していきます。さすがに、本稿執筆時の2020年時点で、TCP23番ポートの開放は少なくなっており、かわりにUniversal Plug and Play(UPnP)が利用するポートを狙う攻撃などが観測されています。

メーカー/ユーザ別、IoT機器のボット感染対策

IoTボット感染対策としてIoT機器メーカーは、「パスワードをデフォルトで使えないようにする」「telnetが利用する23番ポートやUPnPが利用するポートなど、悪用される可能性があるポートに外部からアクセスできないようにしておく」などの対策を行うことが求められます。また、販売後のサポート体制の一環としてセキュリティパッチを継続して一定期間提供し続けることや、セキュリティパッチの自動適用の機能を搭載するといったことも必要でしょう。

一方、ユーザ側は、まずは「パスワードをデフォルトで使わない」「パスワードを長くする」「メーカーのセキュリティパッチが出たらすぐに当てる」など基本対策が大事です。しかし、セキュリティパッチの適用は一般のご家庭ではなかなか実行が難しいところではないでしょうか。また、TCP23番ポートのインターネットへの開放など、攻撃に悪用される可能性のある設定の修正も推奨されますが、これもまた一般のご家庭での対応は難しいところではないかと思います。

自分でセキュリティパッチが当てられない、設定の変更は難しいといった状況でIoT機器を購入される際は、セキュリティパッチの自動適用機能の有無や、セキュリティ上の懸案事項が出た場合のメーカーの対応などもチェックするとよいでしょう。また、古いネットワークカメラやルータなどのIoT機器については、サポート期限が切れている場合や、セキュリティパッチ自体の提供ができない・終わっているといったものがあります。こういった機器については(特にテレワークで在宅勤務をされている場合には)早急に買い替える必要があります。

IoTボットに狙われる脆弱性の検知事例

SQAT.jpを運営する株式会社ブロードバンドセキュリティは、脆弱性診断ペネトレーションテストをはじめとして、APIIoT機器まで、さまざまなセキュリティ診断サービスを提供しています。

診断対象のTCP23番ポートが外部に向けて開いていたというのは、脆弱性診断で数年前であればたびたび指摘される項目でした。最近ではTCP23番ポートの開放が指摘されるケースはまれですが、代わりにIoT機器がDoS攻撃等の脆弱性がある古いバージョンのファームウェアを使っていたことを指摘するといったケースが出ています。社内で利用するPCやIoT機器に、ボットの侵入や悪用を許す弱点がないかを判断するためには、日頃の基本対策だけでなく、第三者による脆弱性診断やペネトレーションテストが役に立ちます。

まとめ

  • ボットとは、特定の作業を自動で行うプログラムやアプリのことです。チャットボットに代表される「良いボット」とサイバーセキュリティ上の脅威となる「悪いボット」があります。
  • 「悪いボット」はウイルスやマルウェアの一種で、ボットネットと呼ばれる感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用されます。
  • ボットネットは、スパムメール送信やDDoS攻撃など、大規模なサイバー攻撃に悪用されます。
  • 攻撃の容易さや台数が多いことから、PCだけでなくIoT機器を狙うボットが増えています。
  • ボットの感染予防として、他のマルウェア同様、OSのアップデートやソフトウェアを最新に保ち、不要なポートを閉じるなど基本対策が有効です。

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share