嵐のようなサイバー攻撃でインターネットをダウンさせかねない、大規模ボットネットが形成されつつあります。

すでに、100万に及ぶ組織がこのボットに感染していると推測されます。

このボットネットは、攻撃の手駒となる、無線IPカメラなどのIoTデバイスの乗っ取りを進めています。

嵐の前兆となる暗雲が立ちこめているのは明らかです。チェック・ポイントの研究者は、新たなボットネットがかつてないペースで大規模化し、IoTデバイスに感染を広げている現状を確認しています。このボットネットは、2016年に出現したMiraiボットネット以上の被害をもたらすおそれがあります。

IoTボットネットとは、共通のマルウェアに感染し、攻撃者によってインターネット経由で遠隔制御されるスマート・デバイスのネットワークを指します。世界中の医療機関や輸送網、通信事業者、政治団体が深刻な被害を受けた大規模サイバー攻撃には、このボットネットが関わっているケースが少なくありません。

技術的な特徴からMiraiとの関連性を疑うこともできますが、今回世界規模で拡大しているボットネットは、まったく新しい存在であり、Miraiよりもはるかに高度な機能を備えています。この背後にいる攻撃者の目的を推測するのは時期尚早です。しかし、ボットネットによる過去のDDoS攻撃がインターネットをダウン寸前にまで追い込んだ事実を踏まえる限り、攻撃が始まる前に、適切な準備と防御を整えておく必要があります。

このボットネットの存在が最初に確認されたのは、9月末のことです。チェック・ポイントの侵入防御システム(IPS)によって、各種IoTデバイスの脆弱性悪用を試みるトラフィックが増加傾向にある事実が確認されたのです

この一連の動きの中で、各種IP無線カメラの脆弱性を悪用するマルウェアが、その手口を日ごとに進化させていく様子が観察されました(狙われていたカメラのメーカーは、GoAhead、D-Link、TP-Link、AVTECH、NETGEAR、MikroTik、Linksys、Synologyなど多岐にわたります)。そして興味深いことに、これらの脆弱性を狙った攻撃は、各種IoTデバイスを含むさまざまなソースから行われていました。つまり、IoTデバイスに対する攻撃には、IoTデバイスも関与していたのです。

チェック・ポイントの推測によると、このボットに感染している組織は、米国およびオーストラリアをはじめとする世界各国で100万以上に上り、その数は増加の一途を辿っています。

今の状況はおそらく、嵐の前の静けさです。「サイバー・ハリケーン」はまもなく到来することでしょう。

チェック・ポイントのIPSは、この脅威に対する包括的な保護を提供します。チェック・ポイントのIPSをご使用の場合は、Check Point Researchブログの詳細な調査レポートに記載されているすべての保護機能を有効にすることを推奨します。この調査レポートには、今回紹介した新たなIoTボットネットの詳細な分析結果も掲載されています。