2019/12/26

「情報セキュリティ10大脅威2019」を読み解く(6) サービス妨害攻撃によるサービスの停止、IoT機器の脆弱性の顕在化

  • このエントリーをはてなブックマークに追加

「情報セキュリティ10大脅威 2019」は、独立行政法人 情報処理推進機構(以下 IPA)が選出した2018年において社会的な影響が大きかったと考えられる情報セキュリティ上の脅威について、情報セキュリティ分野の研究者、企業の実務担当者など約120名で構成される「10大脅威選考会」が審議・投票し、「個人」「組織」における脅威を1位から10位まで順位づけしています。


情報セキュリティ10大脅威2019(組織編)
※NEW はじめてランクインした脅威



本コラムでは、「情報セキュリティ10大脅威 2019」の組織部門で6位・8位にランキングされた、「サービス妨害攻撃によるサービスの停止」「IoT機器の脆弱性の顕在化」についてご紹介します。


サービス妨害攻撃によるサービスの停止、IoT機器の脆弱性の顕在化



サービス妨害攻撃によるサービスの停止とは?

独立行政法人 情報処理推進機構(IPA)が発表した「セキュリティ10大脅威 2019組織編」では「サービス妨害攻撃によるサービスの停止」が6位にランキングされました。昨年が9位、一昨年が4位となっており、ここ数年、毎年ランクインしている脅威です。

また、「IoT機器の脆弱性の顕在化」が8位にランキングされていますが、この脅威は、IoT機器が被る直接的な被害よりも、IoT機器が乗っ取られてDDoS攻撃、すなわち、6位にランキングされているサービス妨害攻撃に加担させられることも懸念される脅威です。

“サービス妨害攻撃によるサービス停止”とは、Webサービスやメールサービスを提供しているネットワークやサーバー等を標的にして、過剰な負荷を与える、あるいは脆弱性を突く手法によってサービスの運用や提供を妨害する攻撃です。(※1)



DoS攻撃とDDoS攻撃の違いは?

サービス妨害攻撃は、英語「Denial of Service」の頭文字を取ってDoS攻撃と呼ばれています。DDoS攻撃は、DoS攻撃の一種で、攻撃元を分散させ複数の拠点から、特定のネットワークや端末に一斉に攻撃する攻撃(「Distributed Denial of Service attack」)を言います。

DDoS攻撃は、大量のパケットを送信し、ネットワーク帯域幅やネットワーク機器の処理リソースを消費させる帯域幅攻撃と、TCPやHTTP等のプロトコルに過剰な負荷をかけて正常な処理を妨げるアプリケーションレイヤー攻撃がありますが、どちらも対象に大きな負荷をかけることによってサービスを妨害することを狙った攻撃です。



IoT機器の拡大がDDoS攻撃を深化させた

近年、IoT(Internet of Things)機器の数が増加し続けており、カメラ、家電、自動車、ビルや工場など世界中のあらゆるモノがインターネットにつながり始めています。2020年には全世界のIoT端末数は400億台を超えると予想されていますが(※1)、IoT機器を利用した攻撃は年々高度化・複雑化しており注意が必要です。

2016年10月には「Mirai」と呼ばれるマルウェアに感染したIoT機器を中心とするBOT化した端末から、米セキュリティ情報サイト「Krebs on Security」やDNSサービス提供企業に対して、当時最大規模の665GbpsのDDoS攻撃が発生し、連鎖的にTwitterやSpotify等のサービスも影響を受けました。(※2)



国際的なイベントとDDoS攻撃

国際的なイベント等があるとサイバー攻撃は増えると言われており、日本でも脅威が増すことが予想されています。

2012年の国際的なイベントでは、公式サイトが2億2,100万件のサイバー攻撃を受け、開会式当日には1千万リクエストのDDoS攻撃が40分間続きました。また閉会式間近にはプレス向けに共同利用されていたIPアドレスから1秒あたり30万パケットのDDoS攻撃が発生しました。(※3)

その後のイベントにおいても、期間中に4千万回のサイバー脅威が確認され、大規模なDDoS攻撃が223回発生しました。開会式直前には大会公式サイトなどにピークで540Gbpsにも達する大規模なDDoS攻撃が発生し、大会公式サイトは被害がなかったものの、組織委員会ではBOT感染による情報漏洩等、多くの被害が発生しています。(※4)



NOTICEの取り組み

(※5)
総務省、国立研究開発法人情報通信研究機構(NICT)、インターネットプロバイダが連携し、IoT機器の脆弱性調査及び注意喚起を行う取り組み「NOTICE」が2019年2月20日から実施され、10月25日の実施状況では、注意喚起の対象となったIoT機器が505件検出されました。また既にマルウェアに感染されていると推定されるIoT機器が1日当たり80~559件インターネットプロバイダに通知されています。

監視カメラ、スマートTV、録画レコーダー、電子レンジ、冷蔵庫等の料理器具、各種センサー、電子玩具等、インターネットに接続されるIoT機器は増加し続けています。こうしたIoT機器は、初期導入時以外にセキュリティ設定されることは稀であり、機器の使用期間も長期間にわたることから、サイバー攻撃の対象として狙われやすい特性を持っています。



DDoS攻撃は安価に実行できる時代に

DDoS攻撃を行う攻撃者は、国家が支援するようなサイバー犯罪者や、日本の捕鯨やイルカ漁に反対するハクティビスト、自分の力を試したいスクリプトキディ等、単純な好奇心から金銭目的、軍事・産業スパイなど、その動機はさまざまです。しかしDDoS攻撃を実施することに関して言えば、敷居は年々下がってきています。

例えば2014年には高校1年男子がオンラインゲームにDDoS攻撃を仕掛け、運営会社の業務を妨害したとして書類送検されていますが(※6)、ダークWeb上ではDDoS攻撃を代行するサービスが存在し、男子高校生は1時間あたり8ドル程度のサービスを利用して攻撃したと言われています。(※7)

トレンドマイクロ社の2019年10月の調査では、感染したIoT機器(BOT)を使用したDDoS攻撃代行サービスは、月額40ドルで提供されていた(※8)との報告があり、中高生でも安価で手軽に攻撃代行を依頼できる時代になってきているのです。



DDoS攻撃への対策は?

それでは、DDoS攻撃への対策はどう考えれば良いのでしょうか?

攻撃を受ける企業や組織は、ネットワーク負荷を分散するDDoS攻撃緩和サービスや、WAF(Web Application Firewall)、IDS/IPS(Intrusion Detection System/Intrusion Prevention System)、UTM(Unified Threat Management)等の対策が有効です。

しかし、こうした機器やサービスを導入したとしても、BOT化されたIoT機器が増加し続ければ、DDoS攻撃への対策コストも増加していく可能性が高いのです。また、企業や個人が使用するIoT機器のセキュリティ対策が不十分な場合、知らぬ間に大規模DDoS攻撃に加担してしまうことにもなりかねません。

IoT機器のセキュリティ強化に関しては、2016年7月にIoT推進コンソーシアム/総務省/経産省から「IoTセキュリティガイドライン」(※9)がリリースされています。このガイドラインでは、IoT機器のライフサイクルを考慮し、「IoTの性質を考慮した基本方針を定める」「IoTのリスクを認識する」「守るべきものを守る設計を考える」「ネットワーク上での対策を考える」「安心な状態を維持し、情報発信・共有を行う」の5つの指針を定めており、IoT機器のセキュリティ対策を考える上で参考になります。

日本国内にはDDoS攻撃に悪用される可能性のある端末が約20万台存在すると言われ、その多くがセキュリティ対策(設定)に問題があるIoT機器であると考えられています。(※10)

今後、自動車やカメラ、スマート家電等のIoT機器は、5Gの普及によりさらに拡大していくことが予想されています。便利な世の中になっていく反面、脆弱なIoT機器に起因してDDoS攻撃がさらに大規模になる、あるいは5G等の高速・大容量通信を悪用した新たな攻撃脅威が発生することが懸念されています。

こうした状況を考えると、企業や組織は、エンドユーザも巻き込んで、セキュアなIoT機器の運用に真剣に取り組んでいくことがますます求められています。


■DNPが提供するDDoS攻撃対策ソリューション:
WAFセキュリティ運用サービス WAF+WAF導入支援+アラート監視・解析まで一貫したサービスを提供いたします。
詳しくは、下記の「資料請求・ソリューションについてなど お問い合わせ」ボタンよりお問い合わせください。



■参考
※1 サービス妨害攻撃の対策等調査 -報告書- IPA(p.6)
   https://www.ipa.go.jp/files/000014123.pdf
※2 「Mirai」:IoTの発達がまねいた史上最悪のDDoS攻撃(ZDNet記事)
   https://japan.zdnet.com/extra/arbornetworks_201805/35119509/
※3 国際的なイベントにおけるサイバーセキュリティへの取組み事例(1)
   https://www.jterc.or.jp/docs/190218_presentation-01.pdf
※4 国際的なイベントにおけるサイバーセキュリティへの取組み事例(2)
   https://cloudcon-archive.jaipa.or.jp/2017/pdf/doc_rio.pdf
※5 NOTICE-HP
   https://notice.go.jp /
   NOTICEの実施状況(2019年度第2四半期) 
   http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00043.html
※6 オンラインゲームにDDos攻撃 「面白いので何度もやった」 熊本の高1男子を書類送検(産経ニュース)
   https://www.sankei.com/affairs/news/140918/afr1409180019-n1.html
※7 初立件の高校生も利用 「1時間8ドル」DDoS攻撃代行の実態(1)
   https://the01.jp/p00098/
※8 IoT機器によるDDoS攻撃の代行は月額40ドル--地下市場調査(トレンドマイクロ)
   https://scan.netsecurity.ne.jp/article/2019/10/17/43085.html
※9 IoTセキュリティガイドラインver1.0(IoT推進コンソーシアム、総務省、経済産業省)
   https://www.meti.go.jp/press/2016/07/20160705002/20160705002.html
※10 日本国内にDDoS攻撃に悪用される可能性のあるボット/サーバーは約20万存在
   https://www.a10networks.co.jp/news/blog/ddos20a10.html


■関連記事
・「情報セキュリティ10大脅威 2019」を読み解く(1) 標的型攻撃による被害
・「情報セキュリティ10大脅威 2019」を読み解く(2) ビジネスメール詐欺による被害
・「情報セキュリティ10大脅威 2019」を読み解く(3) ランサムウェアによる被害
・「情報セキュリティ10大脅威 2019」を読み解く(4) サプライチェーンの弱点を悪用した攻撃の高まり
・「情報セキュリティ10大脅威 2019」を読み解く(5) 内部不正による情報漏えい


■情報セキュリティコラム一覧
https://www.dnp.co.jp/biz/theme/security/index.html

人気の記事