ウイルスの侵入経路は身近なところに　ルータや複合機、今の設定は大丈夫ですか？

サイバー攻撃による情報漏洩などの被害は後を絶ちません。

おもに「マルウェア(=悪意を持ったソフトウェア)」をなんらかの形で企業のネットワークに忍び込ませる手段で行われています。

詐欺メールに悪意のあるファイルを添付し、そのファイルを開かせて端末を感染させるという方法もありますが、近年では、端末やサーバーに繋がっているルータやWebカメラ、複合機などのIoT機器を直接乗っ取り、それを足がかりにサーバーを攻撃する、という手段が多くなっています。

オフィスの中で何気なく使っている機器が攻撃対象になっているのです。

ハッカーはどのようにIoT機器に侵入しどのような被害をもたらすのか、IoT機器を経由した攻撃を防ぐ方法はあるのか、といった点を解説していきます。

IoT機器を狙った攻撃は全体の3割以上

総務省の令和6年版の情報通信白書によると、国立研究開発法人情報通信研究機構(NICT)が観測したサイバー攻撃に関連する通信数は年々増加傾向にあり、2023年には過去最高を記録しています。

(出所：総務省「令和6年版 情報通信白書」)

https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n21a0000.pdf p166

2023年の総観測パケット数は約6197億パケットです。これはひとつのIPアドレスに対して14秒に1回観測されたことに相当しています。

また、これらのサイバー攻撃関連通信の多くは「IoT機器を狙った攻撃」です。

総務省「令和6年版 情報通信白書」

https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n21a0000.pdf p167

WebカメラやルータなどIoT機器を狙ったものの割合が2023年では2022年より増え、3割を超えています。

IoT機器を侵入口にしたサイバー攻撃のしくみ

そしてIoT機器を狙ったサイバー攻撃で多く見られるのが「DDoS攻撃」で、政府も注意喚起しています。

まず、DDoS攻撃とその手口について知っておきましょう。

「DDoS攻撃」とは

「DDoS」とは「Distributed Denial of Service(分散型サービス妨害)」の略で、DDoS攻撃は、対象になるサーバーに複数のコンピューターや機器から大量のデータを送りつけ、サーバーの機能を妨害します。

大量のデータを送りつけられたことでサーバーは処理能力の限界を超えてしまいます。その結果、会社の通常業務ができなくなったり提供しているWebサービスが使えなくなったりします。

攻撃をやめることと引き換えに、金銭を要求することもあります。

IoT機器を足がかりにしたDDoS攻撃のしくみ

では、ハッカーはどのようにしてIoT機器をDDoS攻撃に利用しているのでしょうか。

2016年に「Mirai(ミライ)」というマルウェアによって世界で何十万台ものIoT機器が乗っ取られ、IoT機器を通じた大規模なDDoS攻撃が発生し話題になりました。

このようなしくみです。

(出所：「ウェブカメラやルータが乗っ取られる？IoT機器のセキュリティ対策は万全ですか？」政府広報オンライン)

https://www.gov-online.go.jp/useful/article/202005/1.html

「Mirai」はまず、初期設定のままであったりパスワードが単純であったりするルータやカメラなどのIoT機器に侵入し、機器をひとつずつ乗っ取っていきます。

ウイルスによって乗っ取られた機器のグループは「ボットネット」と呼ばれます。ハッカーは、攻撃されている側が気づかぬ間に複数のIoT機器をボットネット化し、条件が揃った段階でボットネットになった機器すべてに対して一斉に大量のデータをサーバーに送りつけるように指示するのです。

気がついた時には社内の複数のIoT機器がすべて会社の敵に、という状況になってしまうのです。

「ウェブカメラやルータが乗っ取られる？IoT機器のセキュリティ対策は万全ですか？」政府広報オンライン
https://www.gov-online.go.jp/useful/article/202005/1.html

「Mirai」ウイルスの亜種が次々続出

「Mirai」は2016年に見つかったマルウェアですが、今でも活動が続いています。

(出所:国立研究開発法人情報通信研究機構「NICTER観測レポート」)

https://csl.nict.go.jp/report/NICTER_report_2023.pdf p4

Miraiの感染ホスト数は2023年第3四半期までは1日あたり1500台程度で推移していますが、10月から11月にかけて一時的に感染台数の急増が確認されています。

これはMiraiの亜種として2022年に見つかった「InfectedSlurs」によるものだと考えられています。

国立研究開発法人情報通信研究機構「NICTER観測レポート」
https://csl.nict.go.jp/report/NICTER_report_2023.pdf p4

実は、Miraiはウイルスのソースコードを公開していることで知られています。よって、Miraiのソースコードは事実上誰でも手に入れられるのです。そこでさまざまなハッカーがより効果的な攻撃を行えるように改造を加えることで、亜種がどんどん誕生しているのです。

2021年にはMiraiの亜種によって、Android端末をDDoS攻撃の道具にしようと試みる攻撃も観測されています。

独立行政法人情報処理推進機構「情報セキュリティ白書2022」
https://www.ipa.go.jp/publish/wp-security/qv6pgp0000000vgi-att/000100475.pdf p173-p174

どんな端末がDDoS攻撃の足がかりになるかわかりません。

また2022年には、クラウド上の仮想マシンやサーバーを悪用して DDoS 攻撃を仕掛ける「Mantis」と呼ばれるボットネットが新たに観測されました。Miraiとは比較にならないほどの攻撃力を持っていると見られています。

独立行政法人情報処理推進機構「情報セキュリティ白書2023」

https://www.ipa.go.jp/publish/wp-security/t6hhco00000014r1-att/2023_Chap1.pdf p33

DDoS攻撃だけではない、IoT機器乗っ取りの脅威

また、IoT機器が乗っ取られることで起きる被害はDDoS攻撃に限りません。

IoT機器を足がかりにしたウイルス感染は、自社のサーバーだけでなくそこからインターネットで繋がっている取引先やサプライチェーンに広がっていく可能性があります。ハッカーに一度侵入を許してしまえば、さまざまなマルウェアの送信ができてしまうため、DDoS攻撃に限らず、例えば情報漏洩といった目的に使われる可能性もあるでしょう。

場合によっては、自社だけではすまない広範囲に被害を及ぼす可能性があるのです。

さらに、人の安全を脅かす事態も考えられます。

(出所：総務省・経済産業省「IoTセキュリティガイドライン ver1.0 概要」)

https://www.soumu.go.jp/main_content/000428394.pdf p1

上の図のように、総務省と経済産業省は2つの事例を紹介しています。

ひとつは、IoT機器を搭載した自動車へのハッキングです。カーナビを侵入経路にし、そこからハンドル、ブレーキなどを乗っ取ることで事故を起こせることが明らかになったのです。

また監視カメラを乗っ取って、その映像をリークサイトに公表するということもあります。プライバシーを脅かす行為です。

なお、2021年にはアメリカで水道施設の制御システムがハッカーに乗っ取られ、飲用水に含まれる水酸化ナトリウムの濃度の設定値が100ppmから1万1100ppmに引き上げられるという事態が発生しています。

水酸化ナトリウムは規定量を超えれば毒になってしまう物質です。この事例では水酸化ナトリウムの濃度が100倍以上に引き上げられ、職員が異変に気づかなければ大惨事となっていた可能性があります。

この施設では、リモートアクセス用のパスワードを全員で使いまわしていたこと、また、ファイアウォールの保護を行っていませんでした。さらに、サポートの終了したOSを使っていたこともわかっています。

ハッカーにとっては最高の環境だったと言えるでしょう。

日経クロステック「水道施設に「毒混入」狙ったサイバー攻撃、お粗末すぎるセキュリティーの恐怖」

https://xtech.nikkei.com/atcl/nxt/column/18/00676/021700072/
https://xtech.nikkei.com/atcl/nxt/column/18/00676/021700072/?P=2

IoT機器の乗っ取りを防ぐために

いまやウイルスやマルウェアは、ひとたび会社に侵入してしまえば、その会社がネットワークで繋がるあらゆる機器や場所を縦横無尽に行き来できる可能性を持っています。

現在紹介されている対策の3本柱は、以下のようなものです。

• IoT機器の管理用パスワードは複雑なものにする(初期設定の共通パスワードは避ける)。
• IoT機器のファームウェアは常に最新のものにする。
• 使用していないIoT機器はインターネットに接続しない(または電源を切る)

特に、ハッカーは特定のメーカーの特定の製品に脆弱性があることがわかると、徹底的に攻撃を仕掛けてきます。よってルータなどの設定を初期設定のままにしておくと、過去に成功した攻撃方法があっさり通用してしまう可能性が高いため、注意が必要なのです。

また、長く使用していない機器は、ハッカー側がすでに脆弱性を発見して「侵入済み」ということもありますので、電源を切り、再度使用する場合には、必ずメーカーが提供する最新のソフトウェアやドライバに更新するようにしてください。

IoT機器を経由したサイバー攻撃の怖さは「いつの間に、どの機器から侵入されたかわからない」ということです。

今使っている機器のメーカーからの情報発信をこまめにチェックすることも重要です。

NOTICEリーフレット「セキュリティ対策が不十分なIoT機器は、サイバー攻撃に悪用される可能性があります。」

https://notice.go.jp/news_images/notice_poster202004_2.pdf

＜清水 沙矢香＞

2002年京都大学理学部卒業後、TBSに主に報道記者として勤務。社会部記者として事件・事故、テクノロジー、経済部記者として各種市場・産業など幅広く取材、その後フリー。

取材経験や各種統計の分析を元に多数メディアに寄稿中。