インターネットをダウンさせられないために

80以上の大手WebサイトがDDoS攻撃でダウンするという事件が起きました。ボットネットによるDDoS攻撃は、一般の人にとっても無縁の話ではありません。

dyn-featured

先日、大規模なDDoS攻撃が発生し、80を超える大手Webサイトやオンラインサービスがダウンしました。この攻撃でひときわ印象的だったのは、攻撃の背後にいた犯罪者たちが特に高度で最先端な手口を使ったわけではなく、インターネットに接続されたデバイス、いわゆるモノのインターネット(IoT)を動員して、本物の軍隊を作り上げたところです。今回の記事では、攻撃の重大な概念と、この事件が私たち1人1人にどう関係するのかを説明します。

攻撃

10月21日、多くの米国人が、日頃からよく使うWebサイトに接続できないことに気づきました。Netflixは視聴できないし、PayPalで取引もできない。Sony PlayStationのオンラインゲームも動かない。さらに、この不便さをツイートすることすらできませんでした。Twitterもダウンしていたので。

過負荷の兆候を示すサイト、まったく応答しないサイトは、合わせて85にのぼりました。

根本的な問題は、米国のインターネットインフラに対して一連の攻撃(計3回)が行われたことでした。攻撃の第一波は米国東海岸を襲い、第二波はカリフォルニアと米国中西部のほか欧州の利用者にも影響を与えました。第三波については、一連の攻撃の主な標的となったDNSサービス企業、Dynの尽力で被害は緩和されました。

音楽サービス、メディアなど多種多様なリソースに被害が及びました(英語記事)。特に狙われたのはAmazonです。Amazonは西ヨーロッパで個別に攻撃され、しばらくの間、サイトがダウンしました。

DNSとDDoS

さて、どうすれば、たった3回の攻撃で、これほど多くのサイトを混乱させることができるのでしょうか?これを理解するには、DNSとは何かを知る必要があります。

ドメインネームシステム(DNS)は、利用者のブラウザーと、利用者が探しているWebサイトをつなぐシステムです。基本的に、どのサイトもデジタルアドレス(サイトが存在する場所)と、これをわかりやすく表したURLを持っています。たとえば、blog.kaspersky.comは161.47.21.156というIPアドレスに存在します。

DNSサーバーはアドレス帳の役割を果たします。デジタル上のどの場所にサイトが保存されているのかを、ブラウザーに教えてくれます。DNSサーバーがリクエストに応答しないと、ブラウザーはそのページを読み込む方法がわかりません。DNSプロバイダー(特に大手プロバイダー)が、インターネットインフラの中で重要な位置を占めるのはこのためです。

ここでDDoSの登場です。分散型DoS(DDoS)攻撃は、Webサイトやオンラインサービスを実行しているサーバーが動作不能になるまで大量のリクエストを送り付け、このサーバーが担当するサイトが機能できないようにする攻撃です。DDoS攻撃では膨大な数のリクエストを送信する必要があるため、攻撃側はリクエスト送信を担うデバイスを大量に必要とします。DDoS攻撃では、ハッキングされたコンピューター、スマートフォン、デジタルデバイスなど、ネットに接続されたモノが動員されるのが定石です。これらのデバイスが連携し、ボットネットを形成するのです(デバイスの持ち主はそのことに気づきもしなければ、同意もしていないのですが)。

Dynへの攻撃

さて、ことの顛末を説明しましょう。何者かがDynに対して、巨大なボットネットを稼働させました。このボットネットには、IPカメラ、ルーター、プリンターなど、モノのインターネットに属するスマートデバイスが大量に含まれていました。これらのデバイスがDynのサイトに大量のリクエストを送り付け、そのトラフィック量は1秒当たり1.2テラビット被害額は約1億1,000万ドルと推定されています(リンク先はいずれも英語記事)。ところが、実行犯は身代金どころか、何の要求もしませんでした。

実際、犯人はただ攻撃しただけで、身元を特定できる痕跡は一切残しませんでした。しかし、New World HackersとRedCultという2つのハッカーグループが、この件について犯行声明を出しています。RedCultは、さらなる攻撃を将来的に仕掛けると予告しました。

この事件が普通の人にとって他人事でないのは、なぜ?

皆さんがDyn事件の直接的な影響を受けていないとしても、それがこの一件とは無関係ということにはなりません。

ボットネットを作成するには、インターネットに接続可能なデバイスが大量に必要です。皆さんはネット接続するデバイスを何台持っていますか?電話、スマートテレビ、DVR、それからWebカメラ?ネットに接続されたサーモスタットや冷蔵庫はないですか?ハッキングされたデバイスは、一度に2人のご主人様に仕えることができます。デバイスの持ち主のためにいつもどおり働きながら、同時に犯罪者の命令に従ってWebサイトを攻撃するのです。数百万台のこういったデバイスが、Dynをダウンさせました。

この巨大なボットネットの作成に利用されたのは、Miraiというマルウェアです。Miraiの動作は極めてシンプルで、IoTデバイスを探し、発見したデバイス上でパスワードを試します。ほとんどの利用者はデバイスの既定の設定やパスワードを変更しないので、ハッキングは簡単です。このようにして、IoTデバイスは「ゾンビ化」され、ボットネットに組み込まれるのです。

つまり、皆さんの持っているネット接続デバイスが知らないうちにボットネットの一部になっていた可能性があるのです。

今年の9月、何者かがMiraiを使って(英語記事)ITセキュリティジャーナリスト、ブライアン・クレブス(Brian Krebs)氏のブログをダウンさせました。38万台のゾンビデバイスから1秒当たり最大665ギガビットものリクエストが送信され、サーバーに大量の負荷がかかりました。プロバイダーはサーバーダウンを食い止めようと奮闘しましたが、結局は力及ばず。その後、Googleが防御に乗り出し、ようやくブログは復旧されました。

この攻撃の直後、Anna-senpaiと名乗るユーザーが、ある闇フォーラムにMiraiのソースコードを公開し、犯罪者が一斉に飛びつきました。それ以降、Miraiボットの数はコンスタントに増加し続け、1か月と経たないうちに、Dynに対する攻撃が発生しました。

巻き込まれるIoT

DDoSは、特に珍しいタイプの攻撃ではありません(リンク先は英語記事)。こうした攻撃にスマートデバイスを使うのは、犯罪者にとって大きな魅力です。これまでにもお伝えしているように、モノのインターネットはバグだらけ脆弱だからです。この状況はそう簡単に変わりそうもありません。

スマートデバイスの開発企業は、デバイスの保護に関してほとんど何もしていませんし、利用者に対してカメラ、ルーター、プリンターなどのデバイスのパスワードを変更すべきであることを説明していません。それどころか、利用者がパスワードを変更できないデバイスすらあります。このため、IoTデバイス以上に格好の標的はありません。

現在、70~190億台のデバイスがWorld Wide Webに接続しています(英語記事)。この数は、控えめに見積もっても、今後5年間で300~500億台に達するでしょう。ほとんどのデバイスに強固な保護が施されていないことは、ほぼ確実です。その上、Miraiに感染したデバイスは、現在もアクティブです。こうして、ボット軍団に加わるデバイスは日に日に増えています。

長期的にはどうなるか

犯罪者はボットネットを使って、変電所(英語記事)や水道施設(英語記事)などの重要な産業インフラをたびたび攻撃します。DNSプロバイダーに対しても同様です。セキュリティリサーチャーのブルース・シュナイアー(Bruce Schneier)氏は、何者かが強力で継続的なDDoS攻撃を利用して「インターネットをダウンさせる方法を学習している」という見解を述べています。(英語記事)

ボットネットの規模は拡大し続けています。試験的な攻撃が終われば、総攻撃が始まっても不思議ではありません。Dyn事件のように威力を持った攻撃が同時にいくつも仕掛けられたとしたら?想像してみれば、ことの深刻さがイメージできることでしょう。国全体、世界全体からインターネットが失われるかもしれないのです。

ボットネットに加担しないようにするには

1人の力では、ボットネットがネットをダウンさせるのを食い止めることはできません。しかし、私たちが協力してボットネットに参加しないようにすれば、その効果は絶大です。まず、ご使用のデバイスのセキュリティを強化してください。そうすれば、Miraiなどのマルウェアがデバイスを乗っ取ることはできません。すべての利用者がセキュリティを強化すれば、ボットネット軍団の規模は取るに足らないほど小さなものとなります。

プリンター、ルーター、冷蔵庫がインターネットの闇世界に入り込まないようにするには、次の予防策を講じておきましょう。

  1. デバイスの既定のパスワードをそのまま使わないでください。総当たり攻撃で簡単に解読されないような文字の組み合わせを使用してください。
  2. できれば、すべてのデバイス(古いデバイスは特に)のファームウェアをアップデートしましょう。
  3. スマートデバイスは慎重に選びましょう。まず、そのデバイスを本当にインターネットに接続する必要があるかどうか考えてみてください。答えが「もちろん!」ならば、購入前にデバイスのオプションについて調べましょう。もし、パスワードがハードコードされていて変更できないならば、別のモデルを選んでください。
ヒント