HOMEセキュリティ特集サイバー犯罪の代理人

第一回 サイバー犯罪の代理人

サイバー犯罪の代理人2014年に米国では女子高生のPCカメラをハッキングし、覗き見をしていた10代の学生が逮捕されました。
最近ではPCやスマホのカメラがハッキングされる事例も増えており、
facebook社CEOのマーク・ザッカーバーグ氏のPCカメラにも
目隠し用のテープが貼られているということが2016年には話題になりました。

しかし、カメラの乗っ取りは覗き見だけが目的なのでしょうか?

2016年10月に米国で、通販サイトのAmazonや、動画配信サイトのNetflixはじめ、
Twitter、Spotify、PayPalなどのサービスが突如利用できなくなるという事件が発生しました。
これは各社が利用しているDNSサービスを提供しているDyn(ダイン)という会社が、
DDoS(ディードス)攻撃を受けたために、同社のサービスが停止してしまったことによるものでした。

この時のDDoS攻撃では、50万台の機器と数千万件のIPアドレスを用いることで、
Dynのサーバにアクセスを集中させ、Dynのサーバがダウンしてしまいました。

この事件でのトラフィック量は公表されていませんが、
1ヶ月前に同様の手口で被害を受けたブログサイトのKrebs on Securityでは
620ギガビット/秒(Gbps)、仏ホスティング会社のOVHでは1テラビット/秒(Tbps)
(=1000ギガビット/秒)のトラフィックがありましたので、
同程度かそれ以上の攻撃を受けたのではないかと言われています。

これまで史上最大のDDoS攻撃と言われていたものが300ギガビット/秒〜400ギガビット/秒であったことからも、
今回の攻撃がどれだけ大規模なものであったかを感じていただけるかと思います。

しかしながら、620ギガビット/秒や1テラビット/秒(=1000ギガビット/秒)と言われても
あまりピンとこない数字ではありますので、何かと比較してみましょう。

2016年度の総務省の発表によると、モバイル端末による月間のダウンロードトラフィックが
1.1テラビット/秒(=1100ギガビット/秒)とのことです。
つまり、北海道から沖縄まで日本中の携帯電話で1ヶ月間にダウンロードされたトラフィックに
匹敵する量のアクセスが、1社のサーバに6時間以上も集中したとイメージしていただけますと、
どれだけ驚異的な出来事だったのか少しお分かりになっていただけるかもしれません。

サイバー犯罪の代理人の正体とは?

では、Dyn社を襲った50万台の機器とは何だったのでしょうか?

これは、WEBカメラやネットワーク対応のビデオレコーダーなど50万台のIoT機器がボット化し、
まるでゾンビ映画のように、乗っ取られたIoT機器が一斉に同社を襲ってきたのです。
これらの乗っ取られたIoT機器はLinuxで動作するコンピュータに感染する
「Mirai」というマルウェアによってボット化されていました。

このマルウェアのソースコードは同年9月末に突如何者かによってソースコードが公開されましたので、
その仕組みを見てみることにしましょう。

まず、このマルウェアではインターネットに接続されたIoT機器を探し出します。
次に、これらのIoT機器に対して複数のIDとパスワードの組み合わせを試行して侵入を試みます。
ここで驚くべきことは、このマルウェアに元々用意されていたIDとパスワードの組み合わせは、
たった60パターンしかなかったということです。

そして、この60パターンの内のいずれかの組み合わせであったが故に侵入を許し、
乗っ取られてしまったIoT機器のなかの50万台が今回の事件では用いられてしまいました。
既に、世界中では130万台のIoT機器が乗っ取られているという研究者もいます。

そして、乗っ取られた膨大な数のIoT機器は、サイバー犯罪の代理人として、
驚異の存在へと変わってしまったのです。

2016年夏に開催されたリオ五輪では、開催の数ヶ月前からIoT機器のマルウェア感染が活発になりはじめ、
会期中に発生した約540GbpsのDDoS攻撃もボット化されたIoT機器によるものだったと、
米国のセキュリティ企業・アーバーネットワークス社が調査結果を報告しています。

執筆者

足立 照嘉

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。
テレビのコメンテーターなどにもアドバイスを行なっている。