サイバー事件 裏の裏 - 第5回

大被害をもたらしたDDoS攻撃の主役はご家庭のIoTデバイス50万台!?

Twitter、Spotify、Netflixなどが軒並みダウン

文／三上洋

インターネットの根幹にあたるDNSサーバーがダウン

――　先日、記録的なDDoS攻撃が起きました。今回はその概要についてご説明いただければと思います。

三上　日本時間の10月21日金曜夜にTwitter、Spotify、Netflixといった大手ウェブサービスが約5時間にわたり軒並みダウンするという出来事が起こりました。その原因はDDoS攻撃。言わずと知れた、データを大量に送り付けてサイトをダウンさせる手法です。今回の攻撃が巧妙な点は、狙われたのがサービス本体ではなく、DNSだったこと。DNSとは、インターネット上の住所を読み出す／切り替え変更を行う場所のことです。

　今回はこのDNSを担っているDynという大手企業が狙われ、Dyn社に対して大量のデータが送りつけられました。ちなみにDDoS攻撃とは、たとえて言うならば“道路を故意に渋滞させてしまう”行為です。

　ある観光地の営業を邪魔するために、観光地と接続している道路に大量のクルマを突っ込ませて交通をマヒさせ、結果的に誰も観光地に辿り着けなくしてしまう。今回、Dyn社が担っているDNS＝道路には、複数の大手ウェブサービス＝観光地が紐づいていたので、観光客にあたるユーザーが観光地に辿り着けなくなってしまった、というわけです。

　では、どこからDDoS攻撃が行われたのでしょう。ここが今回一番のポイントで、なんと“モノのインターネット”と呼ばれているIoTデバイスからの攻撃でした。じつは9月上旬以降、非常に大規模なDDoS攻撃がさまざまなところで起きているのですが、そのほとんどがIoTデバイスを利用した「mirai」と呼ばれるマルウェアによるものです。

　このmiraiは、IDとパスワードがデフォルトのまま使われているIoTデバイスを大量に乗っ取り、ボットネットと呼ばれるネットワークを形成、そして任意の場所に集中攻撃することができます。

　では、どのようなIoTデバイスが乗っ取られているのかといえば、インターネットにつながっているビデオレコーダーが約8割を占め、残りはルーターやゲートウェイ、ウェブカメラでした。

　このmiraiによる攻撃は9月上旬から始まっていて大きな問題になっていたのですが、じつは10代の少年2名が容疑者として捕まっています。そのことをアメリカの著名セキュリティジャーナリストBrian Krebsが自サイトで言及したところ、少年たちの仲間と思われるグループがおそらく報復としてそのサイトにDDoS攻撃を仕掛けました。報道によれば、その規模は620Gbps（ギガビット/秒）に達したとか。また、同時期に攻撃されたフランスの事例ではケタが1個上がって1Tbps（テラビット/秒）だったと言われています。ごくごく単純に考えても1秒間に100GB以上のデータが送り付けられた計算です。もう、どうにもなりませんよね（笑）

　これまでのDDoS攻撃は“リフレクション攻撃”“アンプ攻撃”と呼ばれる手法がよく使われていました。1回攻撃するとそこから問い合わせし直して増幅する、つまり1回ごとに攻撃量が増えていくので、攻撃側は少ないデータでより大きな効果を発揮できるという代物でした。

　ところが今回のmiraiはその手法を使っていません。どうでもいい“ジャンクデータ”をIoTデバイスからひたすら送り続けるという単純なものだと推測されています。たとえばビデオレコーダーなら動画データを送るわけです。なぜこんな攻撃が通用するのかといえば、miraiが乗っ取ったIoTデバイスの数が半端ないからです。アメリカのリサーチ会社FlashPointによれば、すでに50万台に達しているそうです。その50万台から何の工夫もなくジャンクデータが送られてくる。あまりに母数が多いので、もはや増幅する必要すらない。そしてリフレクション攻撃は元を断つ対処が比較的有効なのですが、今回のような数任せだと対処が追いつかないのです。

IoT乗っ取りマルウェアのソースコードが公開され、事態は一層深刻に

三上　そういった経緯があった上で、9月下旬に一段と悩ましい出来事が起こります。miraiのソースコードが公開されてしまったのです。

――　では、仮に前述のグループを全員逮捕できたとしても、無関係の人間が勝手にmiraiを使って攻撃する可能性があるのですね。

三上　はい。このソースコード公開によって『今後大きな攻撃が発生するだろう』と各所で予測されていた矢先に起きたのが、10月21日の大規模DDoS攻撃だったわけです。

　さて、ここまで概要を説明してきましたが、ちょっとびっくりする事態なのは、マルウェアに侵入されているIoTデバイスは家庭や企業が使っている監視カメラなど、どこにでもあるものばかりだということ。そしてそれらを大量に遠隔操作して、インターネットの根幹にあたるDNSサーバーに攻撃を仕掛けた結果、ものの見事に世界的なサービス群が利用不能になってしまったことです。

　ここまで大きなDDoS攻撃は過去にほぼなかったと思われます。送り付けられたデータ量も前代未聞です。その強力な攻撃が、家庭のありふれた機器から発せられてしまう。これは非常に怖い事態です。

IoTの本格普及はこれから。DDoS攻撃はケタ違いの威力になる

三上　では、これを引き起こしたサイバー犯罪集団の正体は何でしょう？　昨今、国家主導によるサイバー攻撃の脅威が説かれていますが、このmiraiに関してはどうも違うようです。

　元々の制作者は10代の少年で、すでに逮捕されています。前述したセキュリティサイトへの攻撃はその残党によるものだと考えられていて、送られたデータには「逮捕された少年を解放せよ」という内容のメッセージが混入していました。ということは、たった数名の少年たちがインターネットの歴史に残るような攻撃をしでかした、ということになります……もちろん裏は取れませんが。一方、Dyn社へのDDoS攻撃に少年グループが関与した証拠はありません。ありませんが、少年たちでも実行可能だったことは間違いないでしょう。

　今回の事態に関して、押さえておくべきポイントは2つあります。

　まず1つめは、世界的なウェブサービスを数時間ダウンさせてしまうような攻撃手段の設計図が全世界にバラまかれたという危うさ。次にいつどこで攻撃が起こるか誰にもわかりません。

　そして2つめは、この大被害をもたらした根本的な原因が、“セキュリティ的にザルなIoTデバイス”であるという、きわめて単純かつリカバリー困難なこと。1つや2つではなく50万台が世界中に散らばっており、所有者に直接連絡も取れないわけですから、これは本当に困った状況です。

　しかもIoTの普及はこれからが本番です。今後、膨大なIoTデバイスが家庭用に販売され、そしておそらく、少なくない数がデフォルトのパスワードのまま利用されるでしょう。ビデオレコーダーやウェブカメラなどは厳密にはIoTデバイスとは呼べません。本格的にセンサー類、つまり人間が直接操作・監視しないタイプのIoTデバイスが家庭内に導入されたとき、まさにケタ違いのDDoS攻撃が起こる可能性があります。miraiのようなサイバー攻撃の脅威はこれから増大する一方なのです。