【疑似サイバー攻撃実験】百聞は一見に如かず、攻撃者視点でIPカメラを攻撃した結果は......？～SECURIEはどのようにしてサイバー攻撃に対処するのか～

SECURIE 活用事例 2019.12.19

ツイート シェア 送る はてブ

この数年、Internet of Things（IoT）機器を狙ったサイバー攻撃が増加しています。十数年前のPCと同じように、セキュリティが甘いデフォルト設定のままインターネットに接続すると容易にマルウェアに感染してしまう危険性があることは、このサイトでもたびたび紹介してきた通りです。

では、果たして攻撃者はどのような手口でターゲットを見つけ、侵入を試みるのでしょうか。そしてセキュリティソリューションはこうした攻撃を防ぐのにどの程度有効なのでしょうか。

ここはやはり、百聞は一見に如かず。言葉だけではなかなかピンと来ないサイバー攻撃の実態を、セキュリティエンジニアとして活躍するレインフォレストの岡田晃市郎氏 に再現していただき、具体的にどんなステップで攻撃が実行されるのかを確認してみました。その上で、IoT機器の統合セキュリティサービス「SECURIE」が、各攻撃ステップをどのように検知し、ブロックするかも検証し、効果を体験してみました。

偵察、エクスプロイトといった各手順に沿ってサイバー攻撃を再現

今回ターゲットとなるのは、脆弱性が存在する古いバージョンのソフトウェアをあえて搭載した、国産のIPカメラです。これを、通常の家庭ネットワークを模した環境に接続し、ルータを介してインターネットにアクセスできる状態にしてさまざまな攻撃を試し、SECURIEを有効にしている状態とそうでない状態とで違いを見てみました。

岡田氏は、横浜国立大学大学院環境情報研究院／先端科学高等研究院の吉岡克成准教授らと協力し、IoT機器を狙うサイバー攻撃を誘い込むおとりシステムである「ハニーポット」を構築して攻撃の動向を調査しています。観測によると「ほぼ毎日、複数のサイバー攻撃が行われており、中にはWebカメラなど特定の機器や日本の機器を狙ったものも含まれています」ということです。今回の攻撃再現デモでは、このハニーポットで収集した「取れ立てほやほや」の攻撃コードも利用しました。

標的型攻撃に代表されるサイバー攻撃は、「サイバーキルチェーン」と呼ばれる複数のステップに沿って進められることが大半です。

標的を探す「偵察」を実施した後、攻撃のためのマルウェアやコードを作成する「武器化」を経て、メールや悪意あるWebサイトを通じて脆弱性を付いて、コードを「デリバリー」します。そして、標的にそのコードを実行（エクスプロイト）させ、悪意あるソフトウェアを「インストール」させます。あとは、攻撃者が操る制御用サーバ（Command and Controlサーバ、C2サーバなどと呼ばれます）からリモート制御を行い、情報漏洩や改ざんといった「目的を達成」するのです。

サイバーキルチェーンの各フェーズ

今回岡田氏には、ペネトレーションテストに使われるLinuxディストリビューション、「Kali Linux」を用意し、そこからIPカメラを攻撃する手順のうち、「偵察」と「デリバリー」「エクスプロイト」「インストール」のステップを試していただきました。

○偵察：外部からのポートスキャン

インターネットのどこにどんな機器が接続されているかは、「Shodan」のような検索エンジンを用いれば把握できます。ただ侵入しようにも、そこにドアがあるのか、そのドアノブは開きそうなのかどうかが分からなければ、攻撃者も目星をつけようがありません。そんな風に、対象となるIPアドレスでどんなポートが空いているか、通信可能かを探る行為は「ポートスキャン」と呼ばれており、攻撃の前段階として広く行われています。

岡田氏はまず、「nmap」というツールでIPカメラのIPアドレスを指定し、スキャンを試みました。通常の状態では、Webサーバに用いられる80/443番やリモート接続に使われるSSH用の22番などが空いていることが分かってしまいます。

★SECURIEによる防御と効果
これに対しSECURIEを有効にすると、搭載されている「Bitdefender」がポートスキャンが行われていることを検知し、発信元のIPアドレスをブラックリストに自動的に追加します。もう一度攻撃者がポートスキャンを実行しようとしても、アクセスが拒否され、何も情報が見えない状態になりました。

攻撃前のカメラ映像


攻撃後、アクセスが遮断されたカメラ映像

○デリバリー・エクスプロイト・インストール：SQLインジェクション/OSコマンドインジェクション

次に岡田氏が試したのは、「OSコマンドインジェクション」と「SQLインジェクション」と呼ばれる攻撃です。ターゲットに不正なコードを送り込んで脆弱性を突き、リモートから操作を行ったり、個人情報を詐取する手法で、耳にしたことがある人も多いかと思います。

例えば、ハニーポットで収集したての攻撃コードを、「やられサーバ」としてテストに用いられる「DVWA」に対して実行すると、リモートからコントロールを奪取できてしまいます。

★SECURIEによる防御と効果
これに対しSECURIEを有効にした状態では、攻撃コードを実行してもすぐに検知され、管理画面にアラートが表示されました。同時に、ポートスキャンのときと同様に、攻撃元のIPアドレスがブラックリストに追加され、それ以降はアクセスできません。



「攻撃者の目で見ると、探索したり脆弱性を突こうとしてもSECURIEによって接続を切断されるため、IPアドレスを変更しなければならず『けっこう面倒くさいな』となるでしょう。次々に使い捨てられる踏み台を用意する必要が生じるため、攻撃のコストも上がります」（岡田氏）

攻撃の自動化に手作業で1つ1つ対処することは現実的ではない

岡田氏によると、最近のサイバー攻撃の傾向の1つは、複数の攻撃元（IPアドレス）を使い分けてアタックしてくることです。手軽に、低コストでサーバを構築できるクラウドサービスは便利なものですが、それは攻撃者にとっても同様。こうしたサービスを使ってインスタンスを構築しては攻撃し、また次のインスタンスを立ち上げては攻撃し......という具合に攻撃を展開してくることが特徴だそうです。

残念ながら、次々と場所を変えながら撃ってくる相手に対し、単純なブラックリスト方式の対策はモグラたたきのように後手に回りがちです。仮に防御の網をすり抜けられて侵入されれば、そこからさらに別のマルウェアがダウンロードされ、家庭ネットワーク内部でさらに拡散したり、ルータのユーザーIDをはじめとする重要な情報を盗み見られる恐れもあります。

こうした攻撃に対処するには、AIを活用して少ない手間で防御してくれる仕組みが有効です。「手動でも、攻撃元のIPアドレスを特定してリストに追加し、ブロックする対処は可能です。けれど先に述べた通り、攻撃者はクラウドサービスなどを活用して次々に新しいIPアドレスを使い捨てしながら攻撃を行うため、手作業でリストに登録していてはとても間に合いません。その点、攻撃元IPアドレスが自動的に登録されるSECURIEの仕組みはとても有用ではないでしょうか」と岡田氏は述べました。

また、今回の実験でターゲットとして用いたIPカメラの脆弱性は、すでにアップデートによって修正されています。しかし、世の中の全てのIoT機器がアップデート可能というわけではありません。

「ものによっては古いOS、古い脆弱性が残ってしまっています。また、今の時点でセキュアに作ってある機器でも、将来的に脆弱性が見つからないとは限りませんし、修正しても全ユーザーに行き渡るとは限りません」（岡田氏）。そう考えると、多層防御の1つとしてネットワークで守りの網を張る、というのは有効な手だての1つではないでしょうか。

万一に備え、ネットワークの内側から外側への通信もチェック

とはいえ、世の中に「100％の防御」はあり得ないのも事実です。どれだけ網を重ねても、すり抜けが発生する恐れはあります。岡田氏には最後に、IoT機器がマルウェアに感染してしまった場合、不審な動きを検知できるかどうかを検証していただきました。前述のサイバーキルチェーンで言う「目的の達成」に当たる段階です。

最近のアンチウイルスソフトでは検知が難しいPowerShell経由でボットがインストールされると、攻撃者はIPカメラ側のOSを遠隔から操作してさまざまな情報を収集したり、コマンドを実行できたりしてしまいます。これに対し、SECURIEを有効にすると、ボットに操られたIPカメラが外部の不正なIPアドレスにアクセスしようとする内側から外側への動きを引っ掛け、通信をブロックすることができました。「振る舞い（ビヘイビア）に基づいて、怪しい通信先との通信を遮断していくことで、被害の広がりを抑えることができるでしょう」（岡田氏）

このように攻撃者の視点から見てみると、SECURIEによって各ステップの動きが妨げられ、サイバー攻撃のハードルが上がることが分かります。さらにエンドポイントでの対策を組み合わせ、多層防御を実現すると、攻撃に要するコストを増やし、相手にあきらめさせることができるのではないでしょうか。

岡田氏はさらに、今回の検証に際してリバースエンジニアリングを行い、明確な脆弱性とまではいかないまでも、ある程度攻撃できそうな弱点を把握したそうです。それを踏まえ、「メーカー側は顧客によかれとおもってファームウェアを公開していますが、それが攻撃者の手に渡ると弱点をあらわにすることにつながります。配布する際には、暗号化など、容易に解析できないような配慮が必要でしょう」と述べています。

いずれにせよ、ハニーポットでは日々毎日多数の攻撃が検知されています。「インターネット上は日々攻撃が飛び交っており、決して平和な状況ではありません」と岡田氏は述べ、だからこそ何らかの形で身を守ることが重要だと強調しました。

※今回の実験の一部は 独立行政法人情報通信研究機構 (NICT) 委託研究「Web媒介型攻撃対策技術の実用化に向けた研究開発」よりご協力を頂きました。