CISO

IoT時代のDDoS攻撃対策

10月21日の金曜日、何者かがドメイン・ネーム・サービスプロバイダーであるDynに対して分散型サービス拒否攻撃(以下DDoS攻撃)を仕掛け、多数の人気サイトをダウンさせました。DDoS攻撃は新しいものでも、また高度なものでもありません。攻撃側が大量のトラフィックを送りつけることで、標的とされたシステムは動作が遅くなり、最終的にはクラッシュするというものです。巧妙な亜種も多少はありますが、DDoS攻撃は、基本的にはパケット量をめぐる攻撃側と防御側の戦いです。もし、標的とされた防御側におけるデータの受信能力や処理容量が大きければ、防御側の勝ちです。逆に攻撃側が標的の処理能力を上回るデータを投げることができれば、攻撃側の勝ちです。

攻撃側は、巨大なデータの大砲を作ることもできますが、コストが大きくなります。むしろ、インターネット上の何百万台もの罪の無いコンピューターを動員してデータを送りつける方が、はるかに賢いやり方です。ここがDDoS攻撃の「分散型 (distributed) 」たる所以で、何十年も続いている仕組みです。サイバー犯罪者は、インターネット中の罪のないコンピューターをウィルスに感染させて、自分のボットネットに組み込み、そのボットネットから1つの標的を攻撃するのです。

もしこれが現実世界で起きたらどのような事態になるのか、想像してみてください。何万人もの人を騙してあなたの家にピザを同時に配達するよう注文させることができたら、あなたの家の前の通りを渋滞させることできます。さらに、もし何百万人もだませたら、ピザの重さであなたの家を押しつぶせるかもしれません。これこそがDDoS攻撃であり、単純な力技にすぎません。

さまざまな動機

DDoS攻撃をする側の動機もさまざまです。たとえば、最初は自分の能力を誇示する程度のつもりで始めたものが、次には誰かを脅迫する手段へと変貌することもあります。あるいは、ただ嫌いな人に仕返しをするつもりで攻撃することもあるでしょう。
またごく最近では、抗議の手段にもなっています。2013年にハッカーグループAnonymousは、ホワイトハウスにDDoS攻撃を正当な抗議の手段として認めるよう訴えました。犯罪グループは、こうした攻撃を恐喝の手段として利用しており、実際、攻撃の威嚇だけでも十分成果があったグループもあるほどです。また軍事機関もDDoS攻撃をサイバー戦争での武器の1つと見なしています。ロシアの手によるものとされた2007年のエストニアへのDDoS攻撃も、いわゆるサイバー戦争の一種と言えます。

2週間前のDynに対するDDoS攻撃は目新しいものではありませんが、コンピューター・セキュリティーに関するいくつかの重要な傾向を示しています。

実は、こうした攻撃技術は広く公開されており、十分実用的なDDoS攻撃ツールが無料でダウンロードできます。また、DDoS攻撃サービスを有償で請け負う犯罪グループもあります。Dynへの攻撃の際に用いられた技術は、その1ヶ月前に初めて使用されたものでした。それはMiraiと呼ばれ、4週間前にソースコードがリリースされて以来、多数のボットネットにこのコードが実装されました。

最近私は、国家が行ったと思われる、インターネットのインフラ企業に対するDDoS攻撃の捜査についての記事を書きましたが、それから判断するに、Dynへの攻撃は、おそらく、どこかの政府によるものではないでしょう。犯人は、サイバーセキュリティージャーナリストのBrian KrebsがDDoS攻撃請負サービスグループを運営していたイスラエル人ハッカー2人を特定(さらにFBIによって逮捕された)した際、Dynが協力したことに腹を立てたハッカーであった可能性が高いと思われます。しかし、正直なところ確かなことはわかりません。

重要なのはそこです。ソフトウェアは、その能力を広げることができるということなのです。最も優秀な攻撃者は、攻撃手法を編み出してコードを書く必要がありますが、その後は誰でもそのソフトウェアを利用できます。政府であろうと犯罪者であろうと、その攻撃にはさほどの違いもありません。2014年12月、ソニーに対する大量攻撃を仕掛けたのは、200億ドルの軍事予算を持つ某国家か、またはどこかの地下室にいる連中なのか、本格的な議論がセキュリティーのコミュニティで行われました。しかし、インターネット上では、これらの見分けはつきません。誰でも同じツール、同じ技術、同じ戦術が使えるのですから。

記録破りのボリューム

さらに最近では、こうした攻撃は大規模化しています。DynへのDDoS攻撃は、なんと1.2 Tbpsの記録を打ち立てました。それ以前で最大規模のものは、先に紹介したBrian Krebsへの攻撃で、1ヶ月前に記録した620 Gbpsですが、これは一般的なウェブサイトを停止させるのに必要なトラフィックをはるかに上回るものです。しかも1年前なら聞いたこともないボリュームですが、今では普通に見られるような状況になっています。

DynとBrian Krebsを攻撃したボットネットを構成していたのは、主に無防備なIoTデバイスで、具体的にはウェブカメラやデジタル・ビデオ・レコーダー、ルーターなどでした。もっともこれも目新しい話ではありません。すでに、インターネット対応の冷蔵庫やテレビがDDoS攻撃用のボットネットに利用されることが知られています。そしてそれが、現在では大規模化しているということなのです。2014年なら、数十万台のIoTデバイスがボットネットに利用されたことがニュースになったでしょうが、今回Dynへの攻撃に使われたのは数百万台におよびます。アナリストの予想では、インターネットに接続される機器の数は、今後10倍以上に増加するとのことで、こうした攻撃も同様に増えるものと見られています。

問題は、こうしたIoTデバイスには安全対策が施されておらず、そのまま放置される可能性が高いということです。インターネット・セキュリティーはIoTについてはあまり考慮されていません。先月のKrebsサイトへの攻撃に関する筆者のコメントは次のとおりです。

市場でこの問題を解決できないのは、消費者も販売する側も関心がないからです。Brian Krebsへの攻撃で使われたCCTVカメラやDVRのことを考えてみてください。そうしたデバイスの所有者は、セキュリティーのことなど気にしていません。彼らは価格が安く、動き続ければよいのであって、Brianのことなど知りもしません。また、デバイスを販売する人々もセキュリティーには注意を払っていません。より新しく、より高機能なモデルが発売されるとき、購入者が気にするのは価格と機能だけです。市場でセキュリティーの問題を解決できない理由は、この危険な状態は経済学者が「外部性」と呼ぶものだからです。つまり、購入判断の結果が他人に影響を及ぼすということです。目に見えない公害のようなものと考えてください。

実際のところ、 こうした攻撃で使われたことがある、安全対策を施されていない一部のウェブカメラについては、それを製造したある企業が商品を回収しました。しかしこれは、売名行為以外の何ものでもありません。同社が大量の製品を回収したなら驚きです。あるソフトウェアにセキュリティー上の問題があることが知られても風評被害は大きいものではありませんし、それが長続きすることもないということは既に知られています。現在のところ、セキュリティーを犠牲にしてでも価格や開発期間を優先する方が、市場にとって一般に得るものは多いということです。

DDoS攻撃の防止

DDoS攻撃防止が最も効果を発揮するのは、ネットワークの根本的な部分においてです。そこは、パイプが最も太く、攻撃を特定して阻止できることは明らかなのですが、バックボーンのプロバイダーには協力する動機がありません。攻撃が発生しても彼ら自身に痛みはないですし、防御用のサービスを提供したとしてもどのように顧客にその料金を請求したらよいのかわからないからです。そのため、攻撃は素通しとなり、被害者に自己防衛を強いることになるのです。多くの点でこれはスパム問題に似ています。スパムもバックボーンで処理するのがベストですが、経済的な都合から、この問題をエンドポイントに押しつけています。

バックボーンの会社に対して、DDoS攻撃やスパムの排除を強制する規制の実現を期待できそうもないのと同様、IoTメーカーに対する、システムのセキュア化を強制する規制が実現することも無理でしょう。ここでまた以前の私のコメントを紹介します。

これはつまり、政府が介入して問題を解決しない限りIoTは無防備なままだということです。市場で解決できない場合は、唯一解決できるのは政府です。政府なら、IoTメーカーにセキュリティー規制を課すことができるでしょうから、たとえ顧客が関心を持たないことであっても、自社のデバイスをセキュアにせざるを得なくなります。 また、メーカーに法的責任を課すこともできるでしょうから、Brian Krebsのような人が訴訟を起こすことも可能になります。つまり、安全でない状態のままでいることはコストに見合わないということになるので、企業にとって自社のデバイスのセキュア化に投資する動機付けになるはずです。

すなわち、ツケはユーザーが負担するということです。多くのコンピューター・セキュリティーの状況とほとんど変わりません。私たちが使っているハードウェアやソフトウェア、ネットワークは非常に危険な状態にあるため、業界全体にお金を払って、事後的なセキュリティーを提供してもらう必要があるのです。

もちろんソリューションを購入することも可能です。DDoS攻撃防止機能を提供する会社も少なくありませんが、残念ながら、小規模で古い攻撃手法にしか対応していないことが普通です。機能は向上すると見て差しつかえありませんが、多くのユーザーにとって法外な価格になるはずです。まず大切なのは、自分がどのようなリスクにさらされているのかを理解することです。必要なら緩和策を購入すべきですが、それには限界があることを理解しましょう。誰もが攻撃を受ける可能性があり、そしてその規模さえ十分なら、その攻撃は成功することを覚えておいてください。しかも攻撃は常に巨大化しつつあります。大規模攻撃に備えてください。

Bruce Schneier氏は、Resilient(IBMの子会社)の最高技術責任者(CTO)兼IBM Securityの特別顧問です。同氏のブログは、www.schneier.comで、ここに示された見解は同氏のものです。

(出典:Security Intelligence より訳出 “Lessons From the Dyn DDoS Attack” By Bruce Schneier 2016年11月1日)

▼ 関連記事 – こちらもご覧ください

記事をシェアする:

さらに詳しく CISO 記事
2015-06-10

狙われているのは、ゼロデイ脆弱性だけではない!

CISOからジャーナリストまで、あらゆるセキュリティー専門家にとって、ゼロデイ攻撃に関する議論は興味深いもので […]

さらに読む

2017-02-27

IoTが奏でるラブストーリー:離れても、決して切れることはない・・・

本記事の筆者 チャールズ・ヘンダーソン | IBM X-Force Red 幼少時代より、何かを作ることより分 […]

さらに読む

2016-11-29

IDC調査「IDC MarketScape」でIBMが”リーダー”に!

『アジア・パシフィック – マネージド・セキュリティー・サービス 2016 ベンダー・アセスメント』 IDC […]

さらに読む