「DDoS攻撃はビジネスとして複数の料金プランを提示」「乗っ取ったルーターをプロキシとして提供」―横浜国大 吉岡教授に聞く、家庭用Wi-Fiルーター悪用の実態
11月11日を「Wi-Fiルーター見直しの日」として、INTERNET Watchでは家庭のWi-Fiルーターの設定を見直すなどし、安全利用について知ろう、と呼び掛けている(関連:Wi-Fiルーター見直しの提言記事)。ただ、実際に家庭のWi-Fiルーターがどのように攻撃され、悪用を受けてしまうのか、あまり具体的には紹介できていない。 【画像】横浜国立大学大学院環境情報研究院を訪ねた そこで今回は、サイバーセキュリティの研究を行っている横浜国立大学大学院環境情報研究院の吉岡克成教授に、サイバー攻撃、特に家庭のWi-Fiルーターを狙った攻撃や悪用の現状と、ユーザーが意識しておきたいことなどについて伺った。 横浜国立大学の吉岡研究室では、Wi-FiルーターをはじめとしたIoT機器のセキュリティや、DoS/DDoS攻撃対策、標的型攻撃対策など、サイバーセキュリティをさまざまな視点から研究している。「Wi-Fiルーター見直しの日」では、Wi-Fiルーター見直しの呼び掛け記事を監修いただいてもいる。 吉岡克成教授 プロフィール 情報システムセキュリティ、IoTセキュリティの研究に従事。総務省サイバーセキュリティタスクフォース、サイバー安全保障分野での対応能力の向上に向けた有識者会議など、多くの政府有識者会議委員を務める。 2009年文部科学大臣表彰・科学技術賞、2016年産学官連携功労者表彰総務大臣賞、2017年情報セキュリティ文化賞各受賞。 横浜国立大学大学院環境情報研究院/先端科学高等研究院・教授、同学CISO。 ■ ルーターなど多数のIoT機器を乗っ取る「ボットネット」 ネットユーザーに大きな衝撃を与えたKADOKAWAグループおよびニコニコへのサイバー攻撃をはじめ、2024年には多くのサイバー攻撃がニュースとして取り上げられ、記憶に残っている人も多いだろう。サイバー攻撃の手口はさまざまだが、家庭のWi-FiルーターなどIoT機器が関係する手口としては、「ボットネット」が最も身近な脅威と言える。 本誌では、Wi-Fiルーターやネットワークカメラなどの、インターネットに接続して通信する機能を持つPCやスマートフォン以外のさまざまな製品を総称して、IoT機器と呼んでいる。サイバー攻撃者は、インターネット回線を通じてIoT機器にアクセスし、脆弱性を悪用してマルウェアに感染させるなどして、攻撃者が自在に操れるように「乗っ取って」しまう。 このようにして乗っ取られた機器の集合を「ボットネット」と呼ぶ。ボットネットを使った攻撃の典型的な例が「DDoS(ディードス)攻撃」だ。「Distributed Denial of Service」の略で、直訳すれば「分散型サービス拒否攻撃」。多くの機器からアクセスを集中させ、サーバーをダウンさせるなどして正常なサービスを提供できない状態にしてしまう手口で、攻撃者からすれば、多数の機器を同時に操ることが、攻撃のために必要となる。 ちなみに、ボットネットに指令を送って操作し、サイバー攻撃を実行する中心となるサーバーを「コマンド&コントロールサーバー」という。一般には「C&Cサーバー」または「C2サーバー」と書いて「シーツーサーバー」と読む。 DDoS攻撃は古典的なものであって、今更あらためて恐れるような手法ではないのでは? と思う人もいるかもしれない。これは半分誤解で、古典的ながら、今でも効果的な攻撃手法として、DDoS攻撃は行われている。 ボットネットとDDoS攻撃についてさらに深堀りする前に、国家レベルで対策が急がれているサイバー攻撃の事例について紹介しよう。 ■ 米国では強制的にネットワーク機器を停止した事例も発生 進む「能動的サイバー防御」の議論 中国政府の支援を受ける(中国政府は否定している)サイバー攻撃グループ「Volt Typhoon」(ボルト・タイフーン)に対し、米国が国内でボットネットを機能停止させた事例が、今年のはじめに発表された。 Volt Typhoonに関連してはINTERNET Watchでも部分的に動向を報じているが(2024年3月の関連記事、2024年5月の関連記事)、Volt Typhoonに限らず、国家を背景したサイバー攻撃集団への対抗策が、近年のセキュリティにおいては重要な課題の1つとなっている。 このVolt Typhoonが、米国の重要インフラを攻撃することを目的としたボットネットを構成したことに対し、米国では2024年1月に、裁判所の許可を得た作戦によりVolt Typhoonの支配下に置かれたルーターからマルウェアを除去してボットネットを機能停止させ、大規模な攻撃を未然に防いだことを発表した。 このような状況も踏まえ、日本でも、いわゆる「能動的サイバー防御」――国を重要インフラに対するサイバー攻撃を未然に防ぐため、攻撃を事前に検知し、攻撃元へ侵入して無害化することによるサイバー防御など――の導入に向けた検討も行われている。吉岡教授も、そのための有識者会議(サイバー安全保障分野での対応能力の向上に向けた有識者会議)に参加している。 Volt Typhoonの事例で悪用されたのはSOHOルーター(小規模事業者用のルーター)であるが、今後、国家機関などを攻撃することを目的としたボットネットに家庭用のWi-Fルーターが組み込まれる可能性も否定できない。 昨年3月に警視庁・警察庁から「家庭用ルーターの不正利用に関する注意喚起」が行われ、今年に入って、上記のようなVolt Typhoonの事例があった。こうした状況から、吉岡教授は「深刻度が一段階上がったと捉えておくべきだと思います」と指摘する。DDoS攻撃も、重大なインフラに対しての攻撃に使われ始めているという。 ■ ビジネス化したDDoS攻撃と、そのインフラになるボットネット Volt Typhoonのように、国家の意向を受けたサイバー攻撃が行われる事例も多くなっているが、他方では、サイバー攻撃が「ビジネス化」しているとも言われる。 ただ世の中を混乱させたいという愉快犯的な動機ではなく、明確に金銭を得ることを目的として活動する攻撃者が多くなっていて、攻撃のためのツールの提供、情報の授受などもビジネスライクに行われているというのだ。 KADOKAWAグループへのサイバー攻撃のニュースなどで、よくランサムウェアの「身代金」について報じられていたのが、金銭目的で行われるサイバー攻撃の分かりやすい例だ。そして、ランサムウェア攻撃に限らずDDoS攻撃も、ビジネスとして行われるようになっているという。 「DDoS攻撃は、個人レベルから攻撃グループまで、幅広い攻撃者が提供するサービスになっています」と、吉岡教授は話す。DDoSを行うサービスは会員制なども多く、登録すると容易に攻撃が実施できるため、さまざまな意図でこれらのサービスによる攻撃が行われているのだという。 匿名性の高いメッセージングサービスとして知られる「テレグラム」にあったという、DDoS攻撃業者のチャンネルのコンテンツを見せてもらった。DDoS攻撃を実施するサービスの料金が「プレミアム」や「アドバンス」などコース別に提示されているほか、セキュリティが強力だとされているクラウドサービスを攻撃したことを“実績”としてアピールしたりと、奇妙なほどにビジネスライクな内容になっている。 DDoS攻撃業者としては、質のいい「仕事」をするために強力なボットネットを保有しておきたい。だから、家庭のWi-FiルーターなどのIoT機器を攻撃する。 吉岡研究室では、調査用に「ハニーポット」と呼ばれる、わざと脆弱性を持たせた機器をインターネットに接続している。すると、接続からものの数分で攻撃が来て、乗っ取りが行われるという。 そこから得た情報で、前述したDDoS攻撃業者の動向などを調査しているのだが、さらに調査していくと、DDoS攻撃と同じチャンネルでDDoS対策サービスの販売が行われている事例もあるという。絵に描いたようなマッチポンプ状態だ。 ■ 乗っ取ったルーターを「プロキシ」として別のユーザーに提供する例も 乗っ取ったIoT機器を悪用したビジネスは、DDoS攻撃だけではない。プロキシ・サーバーとしての利用もよくある例だという。 プロキシ・サーバーは「代理応答」を役割としている。と、いうだけでは何のことか分かりにくいが、例えば、日本国内からしか利用できないサービスを海外出張中に利用したいときに、日本のプロキシ・サーバーを介してアクセスすることで、日本国内からのアクセスだとみなされ、利用可能になる。通常では利用できないサービスを利用したいときや、自分の情報を追跡されにくくしたい場合に利用するものだと、ひとまずは大雑把に捉えておいてほしい(実際にはもっとさまざまな機能や用途がある)。 プロキシ・サーバーをサービスとして提供する業者の中に、「レジデンシャル(住宅用)プロキシ・サービス」を名乗る業者がいるが、こうした業者の一部には、一般家庭のルーターをユーザの承諾を得て使用するなどして適切な方法で提供しているのではなく、乗っ取ったWi-Fiルーターを使用しているものもあるという。 日本の家庭のWi-Fiルーターが乗っ取られ、プロキシ・サーバーとして悪用されると、それがさらなるサイバー攻撃を国内に呼び込む可能性も考えられる。日本国内の企業では、サーバーへのアクセスが国内からのみ可能なように制限していることもあるが、日本にあるプロキシ・サーバーを利用することで、海外の攻撃者が簡単に制限を突破できてしまうためだ。 昨年公開した警視庁のインタビューでは、サイバー攻撃者が自宅のWi-Fiルーターに侵入することを「悪意を持った他人がいつのまにか家に上がり込んでいるようなもの」と例えた話を伺った。この例えにならえば、DDoS攻撃に悪用されるのは「自宅を襲撃者の拠点にされるようなもの」で、プロキシ・サーバーとして悪用されるのは「自宅に侵入者用の抜け穴を作られてしまったようなもの」といった具合に例えられるだろう。 ただ「サイバー攻撃」と聞いても、普通の人はあまりピンと来ないかもしれない。だが、自宅のWi-Fiルーターやネット回線を悪用して誰かが勝手に違法行為やサイバー攻撃をしている、しかも、それによって他人が金儲けまでしている、という事態だと捉えると、恐ろしいことだと直感できるのではないだろうか。 ■ 家のWi-Fiルーターが攻撃者の“ビジネス”に使われてしまうことを防ごう 吉岡教授は、「Wi-FiルーターなどIoT機器をDDoS攻撃に悪用するのは、攻撃者としては、とてもコストパフォーマンスがいいのです」と指摘する。自前で機器を用意する必要がなく、乗っ取りのためのマルウェアも購入できるほか、無料で公開されているものもある。確かに、少ない投資で高い攻撃力が得られるのだろう。 では、どのように対策すればいいか? という話は別の記事に譲るが、まずは、直接目で見ることはできないけれど意外に身近で行われている「サイバー攻撃」について関心を持ち、実態を知っておいてほしい。 ここで紹介したDDoS攻撃も、プロキシ・サーバーとしての悪用も、ユーザーの通常利用、自宅でのインターネット利用については、ほとんど悪影響を与えない。攻撃者はユーザーが気づかない間にWi-FiルーターなどのIoT機器を乗っ取り、ボットネットに組み込み、いわば「バレないようにこっそりと」悪用する。 ユーザーにできることは、まず自宅のWi-Fiルーターに年に一度ぐらいは目を向け、設定を見直したり、何年も経過して古くなっているようだったら買い替えを検討したりすることだと、本誌では考えている。詳しくは「Wi-Fiルーター見直し」の提案記事を確認してほしい。 ここでは最後に、横浜国立大学が運営しているマルウェア感染・脆弱性診断サービス「am I infected?」を、実際に使った様子を紹介しよう。 同サービスは誰でも無料で利用でき、自宅Wi-Fi(LAN)に接続した状態でウェブサイトにアクセスし、メールアドレスを入力して登録すると、しばらくして診断結果が送られてくるというものだ。自宅回線がインターネット側から見た状態が危険ではないかが簡単に判断できる。 ▼am I infected?にアクセス am I infected? ただし、あらゆる問題を診断できるわけではないため、この結果だけで完全に安心しきってしまわないでほしい。 例えば、一般にはセキュリティのため閉鎖されているべき「ポート」(通信の種類により異なる「ポート」を使用していて、必要のないポートは安全のため閉鎖される)が、特殊な理由で解放されている場合がある。例えば、オンラインゲームのマルチプレイ用などで開放するケースが挙げられる。 am I infected?では、ポートが開放されていることは分かっても、攻撃により解放されてしまっているのか、意図的に開放しているのかは判断できないため、現在は特に警告などはしていない。しかし、今後は「意図的でないなら閉鎖してください」と促す通知をすることも考えているという。 今回の取材では、普段あまり意識することのないインターネットの「裏」を垣間見ることができた。サイバー攻撃について情報を目にすることはあっても、自分ごととして意識する機会はなかなかなく、家庭にあるWi-Fiルーターを悪用して行われるサイバー攻撃ビジネスの実態には、驚いたり、恐怖を感じたりした人も少なくないのではないだろうか。 こうしたことに巻き込まれないようにするため、まずは自宅のWi-Fiルーターの存在を意識し、設定を見直したり診断したり、古くなっていたら買い替えを検討したりしてほしい。セキュリティでは、どこまで対策しても完璧とは行かないが、一般的な対策を忘れずに行うだけで、サイバー攻撃を受けてしまう可能性は大きく減らせるはずだ。
INTERNET Watch,村上 俊一