Embed Size (px)
Citation preview
平成 29 年度
横浜国立大学・BB ソフトサービス共同研究プロジェクト
研究開発成果報告書
プロジェクト名称:横浜国立大学・BBSS
IoT サイバーセキュリティ共同研究プロジェクト
平成 30 年 3 月
目 次
目 次 ··································································································································································································· 1
1. プロジェクトの概要、目的、背景、他 ······························································································································ 3
2. ハニーポットによるサイバー攻撃観測概況 ················································································································· 4
2-1 はじめに ········································································································································································· 4
2-2 観測期間 2017 年 7月 1日~7 月 31日 ··········································································································· 4
(1) アクセスホスト数と攻撃ホスト数の推移 ··············································································································· 4
(2) 攻撃ホスト数の国情報··············································································································································· 5
(3) 収集したマルウェアの検知結果 ···························································································································· 6
2-3 観測期間 2017 年8月 1日~8月 31 日 ············································································································· 7
(1) アクセスホスト数と攻撃ホスト数の推移 ··············································································································· 7
(2) 攻撃ホスト数の国情報··············································································································································· 8
(3) 収集したマルウェアの検知結果 ···························································································································· 9
2-4 観測期間 2017 年9月 1日~9月 30日 ············································································································ 10
(1) アクセスホスト数と攻撃ホスト数の推移 ············································································································· 10
(2) 攻撃ホスト数の国情報············································································································································· 11
(3) 収集したマルウェアの検知結果 ·························································································································· 12
2-5 観測期間 2017 年10月 1日~10月 31日 ····································································································· 13
(1) アクセスホスト数と攻撃ホスト数の推移 ············································································································· 13
(2) 攻撃ホスト数の国情報············································································································································· 14
(3) 収集したマルウェアの検知結果 ·························································································································· 15
2-6 観測期間 2017 年11月 1日~11月 30日 ······································································································ 16
(1) アクセスホスト数と攻撃ホスト数の推移 ············································································································· 16
(2) 攻撃ホスト数の国情報············································································································································· 17
(3) 収集したマルウェアの検知結果 ·························································································································· 18
2-7 観測期間 2017 年12月 1日~12月 31日 ····································································································· 19
(1) アクセスホスト数と攻撃ホスト数の推移 ············································································································· 19
(2) 攻撃ホスト数の国情報············································································································································· 20
(3) 収集したマルウェアの検知結果 ·························································································································· 21
3. テストベッド内での疑似攻撃による脅威の検証 ······································································································ 22
3-1 はじめに ······································································································································································· 22
3-2 関連研究 ······································································································································································ 22
3-3 ホームネットワークテストベッド ····························································································································· 23
(1) 研究目標 ······································································································································································ 23
(2) テストベッドの構築 ···················································································································································· 23
3-4 テストベッド内での疑似攻撃による脅威の検証 ···························································································· 25
(1) 家庭内サービス妨害攻撃 ······································································································································ 25
(2) 家庭内機器の不正操作 ········································································································································· 28
(3) 悪性な Web サイトへの誘導 ································································································································· 30
3-5 実攻撃による脅威の検証······································································································································· 30
(1) マルウェア動的解析による脅威の検証 ············································································································ 30
(2) インターネットからの攻撃による脅威の検証 ·································································································· 32
3-6 セキュリティ評価フレームワークの提案 ············································································································ 32
(1) ホームネットワークセキュリティ製品 ··················································································································· 32
2
(2) セキュリティ評価フレームワーク ·························································································································· 32
(3) ホームネットワークセキュリティ製品の評価 ····································································································· 34
3-7 まとめと今後の課題 ·················································································································································· 36
4. 提言 ················································································································································································ 36
参考文献 ·························································································································································································· 38
本共同研究に関する対外発表 ················································································································································ 39
【別紙】本共同研究に関する報道等
3
1. プロジェクトの概要、目的、背景、他
当共同研究は、2016年以降IoT機器を標的としたマルウェアの拡散とマルウェア感染拡大による、ボットネット
に組み込まれたIoT機器を踏み台としたサイバー攻撃の増加を背景に、IoTマルウェアの観測と研究を先駆け
て行ってきた横浜国立大学と一般消費者向けセキュリティサービスを提供するBBソフトサービスの産学連携
プロジェクトとして発足した。
MiraiをはじめとするIoT機器に感染するマルウェアの特徴として、広域なネットワークスキャンによって、Telnet
やその他の脆弱性のある機器を探し、さらに感染拡大活動も行うという特徴がみられる。しかしこれまで観測
されてきたIoT機器を介したマルウェアによるサイバー攻撃やIoTマルウェアの感染活動の観測は、いずれも
WAN環境に直接接続されたネット接続機器を対象としたものだった。
これらの脅威が一般家庭のルーター機器やその先のLAN内部に対して与える影響の有無については不明
のままであった。
そのような背景の中、横浜国立大学とBBソフトサービスは、双方のリソースを持ち寄り、市販されている様々な
IoT機器、スマート家電などを実際に配置し一般家庭のネットワーク環境を模したテストベッド(試験室)をつく
り、その環境下におけるIoTサイバーセキュリティの観測、実験を行う計画を立案し共同研究プロジェクトを開
始した。
研究の目的は、一般家庭において現在発生している現象の観測、分析を通してサイバーセキュリティ脅威の
実態を社会に公表していくこと。そして近い将来に発生しうるサイバーセキュリティ脅威や被害を予測していく
こと。また、その結果の発表によって、一般消費者にもパソコンやスマートフォンだけでなく、家庭にあるすべ
てのネット接続機器にも、セキュリティが必要であるという意識を浸透させていくことを目的としている。
4
2. ハニーポットによるサイバー攻撃観測概況
2-1 はじめに
脆弱なネットワークサービスを模擬する囮のシステムを用いて、インターネット上で起きている攻撃を
観測するハニーポットと呼ばれる技術がある。ハニーポットの種類は観測対象のプロトコルに応じて多岐
にわたるが、インターネットに接続された家電製品、産業機器、医療機器、カメラ、センサ等の IoT 機器
に対するサイバー攻撃を観測することを目的とした IoTPOT が提案されている[5]。本研究では、世界各
地に配置された IoTPOTを用いて攻撃の傾向を明らかにすることを目指す。具体的には、2017年 7月 1
日~12 月 31 日の間に IoTPOT にアクセスを試みた IP アドレス数(以降では、アクセスホスト数)や不正
侵入を試みた IP アドレス数(以降では、攻撃ホスト数)の分析結果、IoTPOT で収集したマルウェアのウ
イルス対策ソフトで検知結果をまとめる。
2-2 観測期間 2017 年 7 月 1 日~7 月 31 日
(1) アクセスホスト数と攻撃ホスト数の推移
図 1 に観測したアクセスホスト数、攻撃ホスト数の推移を示す。2017 年 7 月は1日当たり約 3.1 万 IP
アドレスからのアクセス、1日当たり約 1.9 万 IP アドレスからの不正侵入を観測した。アクセスホストの中
には研究者などが行うスキャンや、IoT 機器などの攻撃対象の存在を確認することを目的とした、不正侵
入を伴わない「偵察」のスキャンが含まれていることが想定される。1 ヶ月を通して攻撃は継続的に行わ
れており、アクセスホスト数と攻撃ホスト数の推移に大きな変化は見られなかった。
図 1 アクセスホスト数、攻撃ホスト数の推移(2017 年 7月)
0
5000
10000
15000
20000
25000
30000
35000
40000
accessor attacker■アクセスホスト数 ■攻撃ホスト数
5
(2) 攻撃ホスト数の国情報
表 1 に観測した攻撃ホストを国別に分類した結果を示す。2017年7月は198ヵ国・地域から攻撃を観
測した。また、ユニークな攻撃ホスト数は254,998であった。攻撃ホスト数は中国が最も多く全体の 3 割
を占め、次いで、ブラジル、インド、アメリカ、トルコ、ロシア、アルゼンチン、ベトナムとなっていた。
表 1 攻撃ホスト数の国別順位(2017年7月)
順位 国名 攻撃ホスト数
1 位 中国 81427
2 位 ブラジル 22361
3 位 インド 17065
4 位 アメリカ 16689
5 位 トルコ 16001
6位 ロシア 13707
7 位 アルゼンチン 9688
8 位 ベトナム 6605
9 位 オーストラリア 5858
10 位 イタリア 4583
11 位 イラン 4480
12 位 韓国 4409
13 位 タイ 3241
14 位 メキシコ 3197
15 位 カナダ 2938
16 位 イギリス 2658
17 位 スウェーデン 2561
18 位 台湾 2449
19 位 スペイン 2207
20 位 ポーランド 2116
6
(3) 収集したマルウェアの検知結果
以下に収集したマルウェアを4種類のウイルス対策ソフトで検知した結果を示す。2017年7月は
Mirai[2]などの IoT マルウェアを収集することができた。なお、調査にはマルウェア検査サービスである
VirusTotal[31]を用いた。
A 社の検知結果
検知名 種類数 検知数
Linux.Lightaidra 1 279
Trojan 3 116
Linux.Mirai 1 50
SecurityRisk 1 33
Linux.Gafgyt 1 16
B 社の検知結果
検知名 種類数 検知数
Backdoor.Linux.Gafgyt 1 392
Backdoor.Linux.Tsunami 1 2
C 社の検知結果
検知名 種類数 検知数
BASHLITE 7 248
MIRAI 4 57
TROJ_GEN 1 1
D 社の検知結果
検知名 種類数 検知数
RDN/Generic BackDoor 1 171
Linux.Mirai 1 53
7
2-3 観測期間 2017 年 8 月 1 日~8 月 31 日
(1) アクセスホスト数と攻撃ホスト数の推移
図 2 に観測したアクセスホスト数、攻撃ホスト数の推移を示す。8 月に入って大幅な攻撃の増加が確
認された。実際に、7 月 31 日では約 1.7 万 IP アドレスから攻撃を観測していたのに対し、8 月 3 日には
約 1.7 倍の約 2.9 万 IP アドレスからの攻撃を観測した。この原因は、メキシコからのアクセスホスト数と攻
撃ホスト数が急増したためであり、観測された通信のバナーを調べたところ、7 月には観測されなかった
ルーター製品などが確認された。このため、これらの機器がメキシコにて大量感染した恐れがある。
図 2 アクセスホスト数、攻撃ホスト数の推移(2017 年 8月)
(※8 月 26-27 日は研究棟メンテナンスに伴う停電によりデータ取得無し)
05000
1000015000200002500030000350004000045000
accessor attacker■アクセスホスト数 ■攻撃ホスト数
8
(2) 攻撃ホスト数の国情報
表 2に観測した攻撃ホストを国別に分類した結果を示す。2017年 8月は 192ヵ国・地域から攻撃を観
測した。また、ユニークな攻撃ホスト数は382,876であった。攻撃ホスト数はメキシコが最も多く全体の 2
割を占め、次いで、中国、ブラジル、インド、ロシア、トルコ、イラン、アメリカ、アルゼンチンとなっていた。
前述のとおり、メキシコで使われている IoT機器が大量感染したことが推測されるため、7月に 14位だっ
たメキシコが 8 月には中国を抜いて 1位となっていた。
表 2 攻撃ホスト数の国別順位(2017 年 8月)
順位 国名 攻撃ホスト数
1 位 メキシコ 78765
2 位 中国 57525
3 位 ブラジル 46760
4 位 インド 44424
5 位 ロシア 21571
6位 トルコ 20260
7 位 イラン 12199
8 位 アメリカ 10279
9 位 アルゼンチン 9196
10 位 ベトナム 7254
11 位 フィリピン 7193
12 位 イタリア 6533
13 位 タイ 5914
14 位 ポーランド 5845
15 位 台湾 3850
16 位 韓国 3501
17 位 オーストラリア 3031
18 位 スペイン 2558
19 位 スウェーデン 2379
20 位 イギリス 2251
9
(3) 収集したマルウェアの検知結果
以下に収集したマルウェアを4種類のウイルス対策ソフトで検知した結果を示す。2017 年 8 月は
Mirai[2]などの IoT マルウェアを収集することができた。なお、調査にはマルウェア検査サービスである
VirusTotal[31]を用いた。
A 社の検知結果
検知名 種類数 検知数
Linux.Lightaidra 1 216
Trojan.Gen.NPE 2 69
Linux.Gafgyt 1 48
Linux.Mirai 1 28
SecurityRisk.gen 1 6
Linux.Trojan 1 2
B 社の検知結果
検知名 種類数 検知数
Backdoor.Linux.Gafgyt 1 309
C 社の検知結果
検知名 種類数 検知数
BASHLITE 12 441
MIRAI 3 30
TROJ_GEN 3 3
D 社の検知結果
検知名 種類数 検知数
RDN/Generic BackDoor 1 24
Linux.Mirai 1 96
10
2-4 観測期間 2017 年 9 月 1 日~9 月 30 日
(1) アクセスホスト数と攻撃ホスト数の推移
図 3 に観測したアクセスホスト数、攻撃ホスト数の推移を示す。2017 年 9 月は1日当たり約 2.6万 IP
アドレスからのアクセス、1日当たり約 1.8 万 IP アドレスからの不正侵入を観測した。9 月に入りメキシコと
中国からの通信が大幅に減少したため、8 月に比べてアクセスホスト数と攻撃ホスト数が減少した。
図 3 アクセスホスト数、攻撃ホスト数の推移(2017 年 9月)
0
5000
10000
15000
20000
25000
30000
35000
accessor attacker■アクセスホスト数 ■攻撃ホスト数
11
(2) 攻撃ホスト数の国情報
表 3に観測した攻撃ホストを国別に分類した結果を示す。2017年 9月は 198ヵ国・地域から攻撃を観
測した。また、ユニークな攻撃ホスト数は 299,597 であった。攻撃ホスト数はブラジルが最も多く全体の 2
割を占め、次いで、中国、メキシコ、インド、ロシア、トルコ、アメリカ、イラン、アルゼンチンとなっていた。
表 2 攻撃ホスト数の国別順位(2017 年 9月)
順位 国名 攻撃ホスト数
1 位 ブラジル 61812
2 位 中国 36868
3 位 メキシコ 36830
4 位 インド 25086
5 位 ロシア 19271
6位 トルコ 18071
7 位 アメリカ 15757
8 位 イラン 11706
9 位 アルゼンチン 7844
10 位 イタリア 7423
11 位 ベトナム 4857
12 位 イギリス 4729
13 位 タイ 4276
14 位 韓国 4141
15 位 オーストラリア 3518
16 位 台湾 3246
17 位 スペイン 1977
18 位 ギリシャ 1887
19 位 ポーランド 1796
20 位 スウェーデン 1774
12
(3) 収集したマルウェアの検知結果
以下に収集したマルウェアを4種類のウイルス対策ソフトで検知した結果を示す。2017 年 9 月は
Mirai[2]や Tsunami[3]などの IoT マルウェアを収集することができた。なお、調査にはマルウェア検査サ
ービスである VirusTotal[31]を用いた。
A 社の検知結果
検知名 種類数 検知数
Linux.Lightaidra 1 354
Trojan 3 43
SecurityRisk 1 38
Linux.Mirai 1 27
Linux.Kaiten 2 22
Linux.Gafgyt 1 8
B 社の検知結果
検知名 種類数 検知数
Backdoor.Linux.Gafgyt 1 360
Backdoor.Linux.Tsunami 2 23
C 社の検知結果
検知名 種類数 検知数
BASHLITE 10 743
MIRAI 4 26
KAITEN 3 22
TROJ_GEN 10 13
D 社の検知結果
検知名 種類数 検知数
RDN/Generic BackDoor 1 124
Linux.Tsunami 1 20
Linux.Gafgyt 1 20
Linux.Mirai 1 19
13
2-5 観測期間 2017 年 10 月 1 日~10 月 31 日
(1) アクセスホスト数と攻撃ホスト数の推移
図 4 に観測したアクセスホスト数、攻撃ホスト数の推移を示す。2017 年 10 月は 1日当たり約 2.8万 IP
アドレスからのアクセス、1日当たり約 1.9 万 IP アドレスからの不正侵入を観測した。9 月に比べアクセス
ホスト数と攻撃ホスト数に大きな変化は見られなかった。
図 4 アクセスホスト数、攻撃ホスト数の推移(2017 年 10月)
0
5000
10000
15000
20000
25000
30000
35000
accessor attacker
■アクセスホスト数 ■攻撃ホスト数
14
(2) 攻撃ホスト数の国情報
表 4 に観測した攻撃ホストを国別に分類した結果を示す。2017 年 10 月は 196 ヵ国・地域から攻撃を
観測した。また、ユニークな攻撃ホスト数は 304,256 であった。攻撃ホスト数はブラジルが最も多く全体の
3 割を占め、次いで、中国、インド、ロシア、トルコ、アメリカ、イラン、イタリアとなっていた。
表 3 攻撃ホスト数の国別順位(2017 年 10 月)
順位 国名 攻撃ホスト数
1 位 ブラジル 93202
2 位 中国 44244
3 位 インド 22772
4 位 ロシア 19190
5 位 トルコ 18874
6位 アメリカ 17242
7 位 イラン 7598
8 位 イタリア 7415
9 位 アルゼンチン 6764
10 位 メキシコ 5472
11 位 イギリス 4860
12 位 タイ 4635
13 位 ベトナム 4095
14 位 韓国 3918
15 位 オーストラリア 3408
16 位 台湾 2877
17 位 ギリシャ 2755
18 位 ポーランド 2119
19 位 スペイン 1905
20 位 エクアドル 1897
15
(3) 収集したマルウェアの検知結果
以下に収集したマルウェアを4種類のウイルス対策ソフトで検知した結果を示す。2017 年 10 月は
Mirai[2]や Tsunami[3]などの IoT マルウェアを収集することができた。なお、調査にはマルウェア検査サ
ービスである VirusTotal[31]を用いた。
A 社の検知結果
検知名 種類数 検知数
Linux.Lightaidra 1 135
Linux.Mirai 1 30
Trojan 3 20
Linux.Kaiten 2 11
SecurityRisk 1 11
Linux.Gafgyt 1 4
Linux.Proxym 1 1
B 社の検知結果
検知名 種類数 検知数
Backdoor.Linux.Gafgyt 1 191
Backdoor.Linux.Tsunami 2 11
Trojan.Linux.MiraiDDos.CQ 1 1
C 社の検知結果
検知名 種類数 検知数
BASHLITE 7 378
MIRAI 3 32
KAITEN 3 11
TROJ_GEN 6 7
ELF_PROXY.DHC 1 1
D 社の検知結果
検知名 種類数 検知数
RDN/Generic BackDoor 1 46
Linux.Mirai 1 29
Linux.Tsunami 1 10
16
2-6 観測期間 2017 年 11 月 1 日~11 月 30 日
(1) アクセスホスト数と攻撃ホスト数の推移
図 5に観測したアクセスホスト数、攻撃ホスト数の推移を示す。2017年 11月は 1日当たり約 4.6万 IP
アドレスからのアクセス、1日当たり約 2.9 万 IP アドレスからの不正侵入を観測した。11 月に入って大幅
な攻撃の増加が確認できた。実際に、22 日、23 日、29 日、30 日にアクセスホスト数と攻撃ホスト数が増
加した。
図 5 アクセスホスト数、攻撃ホスト数の推移(2017 年 11月)
0
20000
40000
60000
80000
100000
120000
140000
160000
accessor attacker■アクセスホスト数 ■攻撃ホスト数
17
(2) 攻撃ホスト数の国情報
表 5 に観測した攻撃ホストを国別に分類した結果を示す。2017 年 11 月は 196 ヵ国・地域から攻撃を
観測した。また、ユニークな攻撃ホスト数は 470,212 であった。攻撃ホスト数はブラジルが最も多く全体の
2 割を占め、次いで、中国、アルゼンチン、日本、インド、トルコ、ロシア、アメリカ、コロンビアとなってい
た。10 月に比べ、アルゼンチン、日本、コロンビア、エジプトからの攻撃が大幅に増加した。
表 4 攻撃ホスト数の国別順位(2017 年 11 月)
順位 国名 攻撃ホスト数
1 位 ブラジル 122952
2 位 中国 70461
3 位 アルゼンチン 66989
4 位 日本 27693
5 位 インド 23380
6位 トルコ 23172
7 位 ロシア 15037
8 位 アメリカ 14058
9 位 コロンビア 11934
10 位 エジプト 11178
11 位 イタリア 6896
12 位 イラン 4906
13 位 チュニジア 4622
14 位 メキシコ 4613
15 位 タイ 4083
16 位 イギリス 4023
17 位 ベトナム 3649
18 位 韓国 3614
19 位 ウクライナ 3287
20 位 エクアドル 3220
18
(3) 収集したマルウェアの検知結果
以下に収集したマルウェアを4種類のウイルス対策ソフトで検知した結果を示す。2017 年 11 月は
Mirai[2]などの IoT マルウェアを収集することができた。なお、調査にはマルウェア検査サービスである
VirusTotal[31]を用いた。
A 社の検知結果
検知名 種類数 検知数
Linux.Lightaidra 1 135
Trojan 2 37
Linux.Mirai 1 30
SecurityRisk 1 8
Linux.Gafgyt 1 3
B 社の検知結果
検知名 種類数 検知数
Backdoor.Linux.Gafgyt 1 151
Backdoor.Linux.Tsunami 1 23
Trojan 2 9
Hajime 1 1
Applocation.Miner.R 1 1
C 社の検知結果
検知名 種類数 検知数
BASHLITE 7 319
MIRAI 3 43
TROJ_GEN 5 5
D 社の検知結果
検知名 種類数 検知数
Linux.Mirai 1 42
RDN/Generic BackDoor 1 36
Linux.Gafgyt 1 10
19
2-7 観測期間 2017 年 12 月 1 日~12 月 31 日
(1) アクセスホスト数と攻撃ホスト数の推移
図 6に観測したアクセスホスト数、攻撃ホスト数の推移を示す。2017年 12月は 1日当たり約 5.6万 IP
アドレスからのアクセス、1日当たり約 3.4万 IP アドレスからの不正侵入を観測した。12 月 1日から 12 月
5 日までは大量の通信を観測したが、12 月 6 日以降は通信量が減少した。
図 6 アクセスホスト数、攻撃ホスト数の推移(2017 年 12月)
0
20000
40000
60000
80000
100000
120000
accessor attacker■アクセスホスト数 ■攻撃ホスト数
20
(2) 攻撃ホスト数の国情報
表 6 に観測した攻撃ホストを国別に分類した結果を示す。2017 年 12 月は 173 ヵ国・地域から攻撃を
観測した。また、ユニークな攻撃ホスト数は462,344であった。攻撃ホスト数は中国が最も多く全体の4割
を占め、次いで、ブラジル、日本、トルコ、ロシア、アメリカ、イタリア、インド、コロンビア、メキシコとなって
いた。11 月に比べて中国からの攻撃数が大幅に増加した一方で、アルゼンチンからの攻撃が大幅に減
少した。また、日本からの攻撃が増加した。
表 5 攻撃ホスト数の国別順位(2017 年 12 月)
順位 国名 攻撃ホスト数
1 位 中国 199578
2 位 ブラジル 124439
3 位 日本 35392
4 位 トルコ 15162
5 位 ロシア 8004
6位 アメリカ 7208
7 位 イタリア 6353
8 位 インド 5083
9 位 コロンビア 3992
10 位 メキシコ 3818
11 位 イラン 3673
12 位 イギリス 3365
13 位 韓国 3315
14 位 ウクライナ 3204
15 位 ベトナム 3194
16 位 イギリス 2867
17 位 台湾 2666
18 位 タイ 2386
19 位 オーストラリア 2375
20 位 アルゼンチン 2364
21
(3) 収集したマルウェアの検知結果
以下に収集したマルウェアを4種類のウイルス対策ソフトで検知した結果を示す。2017 年 12 月は
Mirai[2]や Tsunami[3]などの IoT マルウェアを収集することができた。なお、調査にはマルウェア検査サ
ービスである VirusTotal[31]を用いた。
A 社の検知結果
検知名 種類数 検知数
Linux.Lightaidra 1 71
Linux.Mirai 1 43
Linux.Kaiten 2 9
Trojan 3 20
Linux.Gafgyt 1 13
SecurityRisk 1 2
Linux.Proxym 1 1
B 社の検知結果
検知名 種類数 検知数
Backdoor.Linux.Gafgyt 1 82
Backdoor.Linux.Tsunami 1 23
Trojan 2 19
Hajime 1 1
Mirai 1 1
C 社の検知結果
検知名 種類数 検知数
BASHLITE 7 153
MIRAI 11 74
TROJ_GEN 11 15
KAITEN 3 11
D 社の検知結果
検知名 種類数 検知数
Linux.Mirai 1 29
RDN/Generic BackDoor 1 19
Linux.Tsunami 1 10
22
3. テストベッド内での疑似攻撃による脅威の検証
3-1 はじめに
近年通信機能を有するスマート家電の普及が進み、一般家庭ではネットワーク接続された IoT機器が
増加している。これらの機器の多くはスマートフォンやタブレットといった端末から簡単に操作可能であり、
ユーザーはクラウドとの連携により多様なサービスを受け取ることができる。しかし、利便性が向上した一
方で、これらの機器へのサイバー攻撃が懸念されている。ホームネットワークの入り口であるホームルー
ター機器には毎日インターネット側から多数の攻撃が届いており、一部の脆弱なホームルーター機器は
マルウェア感染や不正侵入の被害を受けている。例えば、Telnet サービスを狙って感染を拡大するマ
ルウェア Mirai[1]とその亜種は、 2016 年 9 月末にソースコードが公開されたこともあり大量の IoT 機器
に感染したことが報告されている[2]。同様に、マルウェア感染した IoT 機器のサービス妨害攻撃(DoS
攻撃)により、多数のネットワークサービスが影響を受けたことが報告されている[3]。また、2016年6月に
確認されたAndroid端末をロックするランサムウェア FLockerの亜種が家庭内のスマートテレビを乗っ取
り、身代金を要求する事例が報告されている[4]。しかし、このように IoT 機器へのサイバー攻撃が脅威と
なっているにも関わらず、家庭内の IoT 機器へのサイバー攻撃の実態は明らかになっていない。
本研究では、一般消費者の家庭環境を模擬した 16 種類のネットワーク接続可能な IoT 機器からなる
ホームネットワークテストベッドを構築し、家庭内サイバー攻撃の観測と検証を行う。そして、今後想定さ
れるサイバー攻撃についてテストベッド内で疑似攻撃を試行し、その結果に基づいてホームネットワー
クにおけるセキュリティ評価のフレームワークを検討する。
検証実験では、まず初めにハニーポットで収集した実マルウェア検体をホームルーターに感染させ、
家庭内サイバー攻撃の可否を検証した。そして、ホームルーターに感染した後さらに家庭内部に侵入
するかどうかを調査するため、ホームネットワークテストベッドに実攻撃を引き込み攻撃の観測を行った。
最後に、ホームネットワーク向けセキュリティ製品の評価フレームワークを提案し、市販されている製品
の評価を行った。
3-2 関連研究
近年、インターネット上で公開されている IoT 機器が増加しており、それらを対象としたサイバー攻撃
が問題となっている。文献[5][6]では、脆弱な IoT 機器を模擬するハニーポットを構築することでマルウ
ェアを収集する手法を提案している。また、文献[7][8]では、前述のハニーポットで収集したマルウェア
検体を動的解析し、IoT マルウェアが行う攻撃の実態を明らかにしている。文献[9]では、ハニーポットを
用いてMirai[1][2]と呼ばれるマルウェアの挙動を観測し、Miraiに感染した IoT機器の種類を分析するこ
とで Mirai とその亜種の危険性を予測している。
IoT 機器を狙ったサイバー攻撃が脅威となっている一方で、制御システム等の日本国内の重要インフ
ラをサイバー攻撃から守るために、様々な研究機関が IoT セキュリティテストベッドを開発している。例え
ば、CSSC(Control System Security Center)を対象とするテストベッド施設(略称:CSS-Base6)では、9 つ
のプラント(化学、ビル、工場、電力、ガス、広域連携など)を模擬して、重要なインフラと工場の環境を再
現している[10]。また、前述のテストベッドを用いて、重要インフラ、工場、広域連携システムに関する研
究が行われている[13]。計算機クラスタで構成される StarBED 型テストベッドでは、ハードウェアエミュレ
ータを用いて大規模な IoT環境を構築し、IoTセキュリティの実証実験を行っている[11][12]。このように、
各テストベッドでは制御システムに模擬サイバー攻撃を行い、当該システムの堅牢性を検証するとともに
インシデントが起きた際の影響の評価や制御システムのセキュリティ強化技術の研究開発が行われてい
る。一方、ホームネットワークのテストベッドに関する研究は、総務省の試み[14]が挙げられる他に事例
が少なく、家庭内の IoT 機器のセキュリティは十分に検証されていない。そこで、本研究では一般消費
者の家庭環境を模擬したホームネットワークテストベッドを構築し、テストベッド内で家庭内の IoT 機器を
狙ったサイバー攻撃の調査や分析を行う。
23
3-3 ホームネットワークテストベッド
(1) 研究目標
IoT 機器のセキュリティに関する研究の多くは、特定の IoT 機器を模擬することでインターネットから届
く攻撃の観測や分析を行っている。しかし、最近では家庭内の IoT 機器もサイバー攻撃の対象となって
おり、家庭用ルーターをはじめとする機器が侵入を受けた後、家庭内のネットワーク(以降では、ホーム
ネットワーク)に対してどのような攻撃が行われるか明らかにされていない。このため、ホームネットワーク
内の IoT機器に対するサイバー攻撃を分析し、その実態は明らかにすることが求められている。
本研究では、16 種類の IoT 機器からなる一般消費者の家庭環境を模擬したホームネットワークテスト
ベッドを構築する。また、テストベッド内の IoT 機器に疑似攻撃を行うための実機サンドボックスとインタ
ーネットからの攻撃を観測するための犠牲ホストを用意する。そして、ホームネットワーク内で想定される
攻撃を模擬し、これらの攻撃がテストベッド内の IoT 機器やネットワークに与える影響を検証するとともに、
ホームネットワーク内の通信やインターネットから届く攻撃の観測や分析を行う。以下に、本研究の目標
をまとめる。
• テストベッド内およびインターネットとの通信の観測や分析
• 疑似攻撃による家庭内の IoT 機器とホームネットワークへの影響の検証
• IoT マルウェア検体を動作させた後の挙動の観測や分析
• インターネットからのサイバー攻撃をテストベッドに引き込みその実態の観測や分析
(2) テストベッドの構築
本研究では、ホームネットワークテストベッドを通信制御部、通信観測部、Wi-Fi ルーター、犠牲ホスト、
サンドボックスおよび家庭内で使用される多様な IoT機器群で構成する。本テストベッドの全体像を図 7
に示す。また、本テストベッド内の機器のスペックを表 7に、家庭 IoT機器群を表 8に示す。以降では、
各コンポーネントについて説明する。
通信制御部:通信制御部はインターネットとホームネットワークの境界に設置し、制御サーバによりインタ
ーネット側とホームネットワーク間の通信を制御する。マルウェアの通信が外部に影響を与えないよう、
あらかじめフィルタリングルールを設定して外部との通信を制御する。
通信観測部:通信観測部は観測マシンを Wi-Fi ルーターに接続することで、Wi-Fi ルーターからホーム
ネットワーク内へ行われる通信とホームネットワーク内から外への通信を観測する。
サンドボックス:サンドボックスではマルウェア検体を実行し、ホームネットワーク内部間、および外への
疑似攻撃を行う。
犠牲ホスト:犠牲ホストは実機と仮想マシンの二種類を用いて実現する。実機の犠牲ホストはインターネ
ットからの攻撃を引き込む際の攻撃対象として使用する。なお、本研究ではホームネットワークの入り口
であるWi-Fiルーターは、実攻撃を観測する際には犠牲ホストと想定する。犠牲ホストがマルウェア感染
した後の挙動を観測するため、すべての ID/パスワードで telnet ログイン可能な仮想マシンを犠牲ホスト
として構築する。
ホームネットワークセキュリティ製品:ホームネットワークセキュリティ製品は現在市場にて販売されている、
家庭内の IoT デバイスを保護するためのセキュリティ製品である。
家庭 IoT 機器群:家庭 IoT デバイス群はホームネットワークに接続される家庭用の IoT 機器である。具
体的には、TV や掃除機等のネットワークに接続する家電である。
24
図 7 ホームネットワークテストベッドの構成図
表 6 ホームネットワークテストベッド内の機器のスペック
デバイス CPU・OS
制御サーバ Intel(R) Core(TM) i7-7700 CPU@ 3.60GHz,2 Ethernet ports
interfaces, Cent OS 7
観測マシン 24 Ethernet ports switch with port mirroring
サンドボックス(実機) Wi-Fi ストレージ/ポケット Wi-Fi MIPSEL
犠牲ホスト(実機) ポケット Wi-Fi,MIPSEL /家庭用Wi-Fi ルーターMIPS
犠牲ホスト(仮想マシン) Openwrt 15.05-x86 [15]
表 7 家庭内 IoT機器の一覧
製品名 プロトコル(L7/L4) 機能説明
学習
リモコン 独自/TCP
エアコンやTVなどの家電のリモコンを登録することで、アプリから
様々な家電の操作を可能とする
ロボット
掃除機 MQTT[16]/TCP アプリを利用して清掃命令等のリモートコントロールを可能とする
スマート
照明 HTTP/TCP
アプリを利用して照明の ON・OFF やライトの色の変更を可能とす
る
スマート
電源プラグ 独自/UDP
コンセントに接続して使用することで、アプリで電力使用状況の確
認や電源の ON・OFF を可能とする
スマート
コーヒー機 独自/TCP 家の中や外出先からコーヒーを淹れることを可能とする
25
プリンタ LPR/RAW//TCP アプリから写真やファイルのプリント操作を可能とする
NAS HTTP/TCP インターネットに接続して使用するファイルサーバ
IP カメラ RTP/UDP/TCP アプリを利用して外出先から映像を確認可能とする
スマート TV HTTP(S)/TCP インターネットに接続してインターネット上の映像コンテンツを視
聴可能とする
空気清浄機 MQTT[16]/TCP アプリで機器の電源の ON・OFF や運転モードの切り替え操作を
可能とする
3-4 テストベッド内での疑似攻撃による脅威の検証
一般家庭において、各 IoT 機器は有線及び無線の形で家庭 Wi-Fi ルーターに接続してインターネッ
トにアクセスする場合が多い。ホームネットワークの入り口であるルーター機器へは実際に毎日多数の
攻撃が届いており、一部の脆弱なルーター機器がマルウェア感染や不正侵入の被害を受けている。
Wi-Fi ルーターが感染し攻撃者に侵入された場合、全ホームネットワークが脅威にさらされる恐れがある。
具体的には、攻撃者が感染した Wi-Fi ルーターを利用してホームネットワーク内の通信を盗聴すること
で、家庭内に存在している IoT機器の情報を把握し、これらの機器を狙うサイバー攻撃を実施することが
考えられる。本節では、今後起きることが想定される家庭内の IoT 機器を狙ったサイバー攻撃の現実性
や影響度を調査するため、ホームネットワークテストベッド内で疑似サイバー攻撃を行った結果をまとめ
る。
(1) 家庭内サービス妨害攻撃
実験方法
テストベッド内の IoT機器に対してサービス妨害(DoS)攻撃を行った。実験環境を図 8 に示す。
本実験では脆弱性を持つWi-Fi ストレージ(市場価格 3,000 円程度)の実機を IoTマルウェア(MD5 ハ
ッシュ値: b66d2425ea49f73c9d09f8999c26c93c、BitDefenderによる検知名: Gen:Variant.Backdoor.Linux.Gafgyt.1)に感染さ
せ、実験を行なった。以下に、具体的な実験手順を示す。
① 事前に入手したマルウェア検体に対応するダミーC&C サーバを作成し、制御サーバにフォワー
ディングの設定を行う。
② マルウェアバイナリファイルを Wi-Fi ストレージ機器に転送し、実行する。
③ 観測サーバを用いて、ホームネットワーク内の通信を記録する。
④ ダミーC&C サーバから攻撃対象の IP アドレス、攻撃ポート、攻撃持続時間(5 分間)を指定して、
攻撃命令を送信する。
⑤ DoS 攻撃開始前後の各機器の動作を確認する。
⑥ 解析環境をクリーンアップし、通信の記録を終了する。
26
制御サーバ
ダミーC&Cサーバ
サンドボックス(実機)
1.C&Cサーバと連絡する
5.攻撃
3.攻撃命令
4.命令を受ける
TelnetやDoS攻撃などの通信は制限
2.C&C宛の通信をフォワード
通信制御部
C&Cサーバ
図 8 家庭内サービス妨害攻撃実験の実験環境
実験結果
実験結果を表 9 に示す。攻撃通信量は DoS 攻撃の実施により、感染機器から攻撃対象の IoT 機器
へ送信した毎秒あたりの通信量である。攻撃耐性の項目中の「 ○ 」は攻撃を実施している際でも、機
器を操作した際に機器が正常に動作したことを意味する。一方、「 × 」は機器が操作に対し正常に動
作しなかったことを意味する。また、「 △ 」は機器の操作に対し動作するまで大幅な遅延(20 秒以上)
があったことを意味する。この結果から、テストベッド内に用意した IoT 機器の一部は、IoT マルウェアの
DoS 攻撃により動作が妨害されうることが実証された。次に、比較のため、制御サーバで専用の DoS 攻
撃ツールである hping3[16]を用いて DoS攻撃を実施し、攻撃通信量が多い場合の IoT 機器への影響を
確認した。実験結果を表 10 に示す。
表 8 IoT マルウェアを用いた DoS 攻撃の結果
製品名 DoS 攻撃種類/
攻撃通信量
攻撃耐性 攻撃後自動的に回復可能か否か/
回復時間
ロボット
掃除機
SYN flood
392K Byte/s ×
自動的に回復不可
Reboot が必要
スマート
照明
SYN flood
307K Byte/s ×
自動的に回復可能
15 s
学習
リモコン
SYN flood
357K Byte/s △
自動的に回復可能
28 s
NAS SYN flood
435K Byte/s ○
27
プリンタ SYN flood
225K Byte/s ○
スマート
コーヒー機
SYN flood
342K Byte/s ×
自動的に回復可能
23 s
スマート
電源プラグ
UDP flood
13M Byte/s ×
自動的に回復可能
18 s
表 9 攻撃ツールを用いた DoS 攻撃の結果
製品名 DoS 攻撃種類/
攻撃通信量
攻撃耐性 攻撃後自動的に回復可能か否か/
回復時間
ロボット
掃除機
SYN flood
27M Byte/s
× 自動的に回復不可
Reboot が必要
スマート
照明 ×
自動的に回復可能
25 s
学習
リモコン ×
自動的に回復可能
23 s
NAS × 自動的に回復可能
7 s
プリンタ × 自動的に回復可能
4 s
スマート
コーヒー機 ×
自動的に回復可能
20 s
スマート
電源プラグ
UDP flood
57M Byte/s ×
自動的に回復可能
67 s
考察
以上の結果から、マルウェアに感染した IoT 機器による DoS 攻撃では攻撃通信量が少量にも関わら
ず、半分以上の IoT機器が動作しなくなることを確認した。また、攻撃通信量が大量の攻撃では、今回の
実験に用いた全ての IoT機器が動作しなくなることを確認した。攻撃終了後、ほとんどの IoT機器は1分
以内に正常な動作状態に戻ったが、再起動するまで正常な状態に戻らない機器も存在した。このことか
ら、実際に攻撃者が家庭内で IoT 機器を狙う DoS 攻撃を実施した場合、機器の動作が妨害されることが
わかった。なお、家庭内の IoT 機器の動作を妨害することは攻撃者の利益に結び付かないとも考えられ
るが、一方で、感染した IoT機器を故障させるマルウェア[17]も現れていることから注意が必要である。家
庭内サービス妨害攻撃への対策として、ゲートウェイやホームネットワークセキュリティ製品により DoS 攻
撃のような異常な通信を検知し、フィルタリングする方法が考えられる。
28
(2) 家庭内機器の不正操作
実験方法
ホームネットワーク内でスマートフォンアプリ等を操作して IoT 機器を使用する場合、初めにアプリから
の動作命令が家庭内の Wi-Fi ルーターを経由して IoT 機器に届けられ、機器が命令にしたがって動作
を行う。その後、実施結果を同じ経路で返信するという処理が行われる。そこで、機器操作のための通信
を仲介するルーターを乗っ取った攻撃者を想定し、家庭内機器の不正操作攻撃を行った。実験環境を
図 9 不正操作攻撃実験の実験環境図 9 に示す。脆弱性のある Wi-Fi ルーターが攻撃者に侵入されて
マルウェアに感染した状況では、ホームネットワーク内での通信が攻撃者に盗聴されていると考えられる。
この時、攻撃者は通信を盗聴しながら特定の IoT 機器の動作命令の通信パケットを記録し、攻撃者が望
むタイミングで当該パケットを再現して攻撃対象の機器に送信することで、不正操作を行うことが想定さ
れる。本実験では不正操作攻撃の実現可能性を検証するため、TCP 通信を行うスマートリモコン、TCP
通信を行うロボット掃除機、UDP通信を行うスマート電源プラグの3種類の IoT機器を実験の対象とした。
以下に、具体的な実験手順を示す。
① IoT 機器の動作機能毎に、スマートフォンでアプリを操作しながら送信したパケットを観測サーバ
でキャプチャし記録する。
② 得られた各動作機能に該当する通信パケットのペイロード部分を抽出する。そして、同じホーム
ネットワークにある疑似攻撃ホストから抽出したペイロードが挿入された操作通信を IoT 機器に送
信する。この操作により同一の動作機能を再現可能か確認する。
1.動作命令発信
2.動作命令転送
1.動作命令盗聴
3.不正動作命令転送
2.不正操作指示
図 9 不正操作攻撃実験の実験環境
実験結果
実験結果を表 11 に示す。平文で通信するスマートリモコンに対しては、全ての不正操作が成功した。
また、スマート電源プラグにおいても不正操作に成功した。一方、暗号通信を行うロボット掃除機に対し
ては反応がなく、不正操作に失敗した。
29
表 10 不正操作攻撃の結果
製品名 アプリケーション層
プロトコル
ペイロード
の可読性 操作機能
不正操作
の結果
学習リモコン Raw TCP あり
(ASCII コード)
TV 電源ON/OFF 成功
エアコン電源 ON/OFF 成功
TV 音量調整 成功
TV チャンネル調整 成功
ロボット
掃除機 MQTT
なし
(SSL で暗号化)
掃除開始 失敗
掃除一時中止 失敗
掃除停止 失敗
スマート
電源プラグ Unknown (UDP)
なし
(Binary データ)
電源ON 成功
電源OFF 成功
考察
以上の実験結果から、3つの IoT 機器のうちスマートリモコン及び電源プラグにおいて不正操作に成
功した。スマートリモコンの通信は平文の TCP である。そこで、同じホームネットワークにある疑似攻撃ホ
ストの Telnet クライアントを用いて不正操作を試みた。その結果、得られた平文の動作命令を用いてユ
ーザー名とパスワード無しでの不正操作に成功した。不正操作の結果を図 10 Telnet クライアントを用い
た不正操作の結果
に示す。電源プラグでは通信内容の可読性はないが、アプリから送信された命令通信をそのまま送信
することで電源プラグを不正操作することが可能であった。このため、今回の実験でスマートリモコンと電
源プラグに対する不正操作が成功した原因は、操作を行う側の認証機能がないためだと考えられる。本
実験の成果は、しかるべき機関に情報提供する予定である.一方,アプリとロボット掃除機のコネクション
が成立する際の流れを観測すると、SSL 接続を確立するための「SSL ハンドシェイク」[17]と呼ばれる公開
鍵、秘密鍵、セッション鍵の鍵交換の過程が確認された。つまり、ロボット掃除機が使う MQTT プロトコル
上で TLS/SSL による通信が行われていたことがわかる。このことから、他の二つの機器よりセキュリティ
が高く、単純なリプレイ攻撃を防ぐことが可能であることが確認された。
以上より、今回発見した不正操作の原因は主に2つである。一つは、通信内容が暗号化されていない
ことである。もう一つは、操作する際に認証を行なっていないことである。
root@user:/# telnet 192.168.10.109 51013
Trying 192.168.10.109...
Connected to 192.168.10.109.
Escape character is '^]'.
*is;1
is;ok
図 10 Telnet クライアントを用いた不正操作の結果
30
(3) 悪性Web サイトへの誘導
実験方法
家庭内の Wi-Fi ルーターに侵入した攻撃者は、ルーティングの設定変更や DNS キャッシュサーバの
設定変更により、家庭内の機器がインターネット上のホストと行う通信を悪意のあるホストに転送すること
が可能である。そこで、Wi-Fi ルーターの設定変更による悪性サイトへの誘導を行った。具体的には、テ
ストベッド内の Wi-Fi ルーター上で動作する通信制御用プログラムである Iptables[18]の設定を変更し、
80/TCP への通信を疑似悪性サイトに転送する設定にした。
実験結果
スマートフォンやタブレット端末のブラウザ、スマートTV等でインターネットにアクセスしたところ、疑似
悪性サイトのコンテンツが表示された。このため、家庭内の機器のインターネットへの通信を金銭要求サ
イトに転送し、送金されるまで正規のコンテンツとの通信をブロックする、IoT 版のランサムウェアなどが
懸念される。
考察
以上の結果から、家庭内の機器からの通信がフィッシングサイトや身代金要求サイト、あるいは、ドライ
ブバイダウンロードなどの脆弱なブラウザを狙った攻撃を行う悪性サイトに誘導される恐れがある。
家庭内サービス妨害攻撃では、様々な機器の通信機能が阻害された。家庭内機器の不正操作験で
は、学習リモコンやスマート電源といった機器を制御する正規アプリに成りすました操作が可能であった。
また、悪性なWebサイトへの誘導では、家庭内の機器がインターネット上のホストと行う通信を悪性サイト
へ誘導することができた。これらの疑似攻撃はホームネットワークに一定の影響を与え、使用者に不便を
もたらす可能性があるため対策が必要である。
3-5 実攻撃による脅威の検証
(1) マルウェア動的解析による脅威の検証
家庭内の IoT 機器の多くは Wi-Fi ルーターなどを介して LAN 側に接続しているため、Wi-Fi ルータ
ーがマルウェアに感染した場合、マルウェアからの攻撃がこれらの機器に到達する可能性がある。そこ
で、本節では Wi-Fi ルーターがマルウェアに感染した状況を想定し、マルウェアから LAN 側への攻撃
が実際に行われるか調査する。実験には、事前にマルウェア動的解析の結果から LAN 側にスキャンや
攻撃を行う検体群を選定し、これらの検体群を Wi-Fi ルーター上で実行した時に LAN 側へ攻撃が行わ
れるか調査した。実験環境を図 11 に示す。
LAN 側にスキャンや攻撃を行う検体の選定
2016 年 12 月 20 日から 2017 年 11 月 30 日の間にハニーポットを用いて収集したマルウェア検体を、
IoT マルウェア向けのサンドボックス IoTBOX[5]で 5 分間動的解析した。なお、解析は検体収集から 10
分以内に行った。動的解析の結果、収集した 6859 検体(MIPS[19]:3000 検体、MIPSEL[20]:3859 検体)
のうち、289 検体(MIPS90 検体、MIPSEL199 検体)が LAN 側にスキャンまたは攻撃を行った。しかし、
LAN 側にスキャンまたは攻撃を行った検体は少なく、LAN 側を故意に狙った攻撃ではなくスキャン等の
宛先に LAN 側アドレスが偶然選ばれているものと推定される。LAN 側にスキャンまたは攻撃を行った
289検体の内訳を表 12に示す。検体の分類にはDr.Web[21]を用いた。また、これらの検体の通信内容
を表 13 に示す。
31
図 11 Wi-Fi ルーターを介した家庭内機器への攻撃の検証
表 11 LAN 側にスキャンまたは攻撃を行った検体の内訳
種類 BackDoor.Fgt Linux.Mirai Trojan
MIPS 80 検体 7 検体 1 検体
MIPSEL 168 検体 26 検体 0 検体
表 12 LAN 側にスキャンまたは攻撃を行った検体の通信
種類 10.0.0.0/8
(IP アドレス数)
192.168.0.0/16
(IP アドレス数)
LAN IP アドレス割合
(平均)
LAN IP アドレス割合
(TOP1)
MIPS 4981 506 0.0352% 0.054%
MIPSEL 7561 162 0.086% 0.0103%
LAN 側への攻撃
続いて、テストベッド内の Wi-Fi ルーターを LAN 側にスキャンまたは攻撃を行った検体に感染させた
時の挙動を観測した。当該ルーターのCPUアーキテクチャはMIPSであるため、実験にはMIPS上で動
作する 90 検体を用いた。これらの検体は収集してから一定の時間が経過していたため、C&C サーバに
繋がらない可能性がある。そこで、実験にはマルウェア検体に命令を送信する機能をもつダミーの C&C
サーバを用いた。以下に、実験手順を示す。
① 事前に入手したマルウェア検体に対応するダミーC&C サーバを作成し、制御サーバにフォワーデ
ィングの設定を行う。
② Wi-Fi ルーター上でマルウェア検体を実行して感染させる。
③ ダミーC&C サーバから攻撃命令を送信する。
④ Wi-Fi ルーターから LAN 側へのスキャンを犠牲ホストに転送する。
⑤ 解析環境を 15 分後にシャットダウンし、クリーンアップする。
32
実験の結果、全ての検体が Wi-Fiルーターに感染して LAN側を含むランダムな宛先 IPアドレスの 23
番、2323 番ポートにスキャンを行った。また、犠牲ホストに Telnet ログイン試行を行った。このため、これ
らの検体がインターネット上に存在する Wi-Fi ルーターに感染した場合、実際に家庭内に対して Telnet
を経由したマルウェア感染が行われる可能性がある。
(2) インターネットからの攻撃による脅威の検証
テストベッドへインターネットからの攻撃を転送し、家庭内への攻撃が侵攻するか検証した。実験に用
いた Wi-Fi ルーターは Telnet の脆弱性を有しており、実際にマルウェア感染することが報告されている
[22]。そこで、テストベッドにインターネットから届く攻撃のうち、Wi-Fi ルーターのリモートアクセスの機能
に対応する 23 番、2323 番、80 番、8080 番ポートへの通信を転送した。また、Wi-Fi ルーターを定期的
に再起動することでマルウェアをクリーンアップして様々な検体に感染するようにした。実験の結果、
2017 年 12 月 9 日から 1 週間に渡り攻撃を観測し、観測期間中に流行していたマルウェアに繰り返し感
染した。しかし、その後 LAN 側への攻撃は観測されなかった。その理由の 1 つとして、当該マルウェア
は LAN 側への攻撃を行わないことが考えられる。
3-6 セキュリティ評価フレームワークの提案
(1) ホームネットワークセキュリティ製品
近年、ホームネットワーク向けのセキュリティ製品[23](以降では、ホームネットワークセキュリティ製品と
呼ぶこととする)が消費者の注目を集めている。ホームネットワークセキュリティ製品は家庭のWi-Fi ルー
ターに接続する場合や直接 Wi-Fi ルーターとして使用することで、ホームネットワーク内の機器をインタ
ーネットからの攻撃や有害サイトへのアクセスから保護する役割をもつ。また、スマホやタブレットに管理
用アプリをインストールすることができる。以下に、これらの製品の機能をまとめる。
侵入防御機能:ホームネットワーク内の通信を監視し、家庭内の機器に存在する脆弱性を突いた攻撃が
行われた際に攻撃を検知して遮断する。
不正サイトへのアクセスブロック機能:ウイルス感染やフィッシング詐欺などの恐れのあるウェブサイトへ
のアクセスをブロックする。特に、ゲーム機のようなブラウザを搭載しているがセキュリティソフトウェアがイ
ンストールされていない機器を守る機能をもつ。
ホームネットワーク接続機器の脆弱性検知機能:ホームネットワーク内に接続されている機器を一覧で表
示する。また、接続されている機器をスキャンして脆弱性を検知する。
(2) セキュリティ評価フレームワーク
ホームネットワークセキュリティ製品を評価するため、製造者による説明、および疑似攻撃と実攻撃の
実験に基づいた評価項目を提案する。評価項目は、ホームネットワーク内での攻撃に対する項目(内→
内)、ホームネットワーク内から外部への攻撃に対する項目(内→外)、外部からホームネットワークへの攻
撃に関する項目(外→内)、脆弱性診断に関する能力の 4種類の大項目からなる。また、それぞれに侵入、
不正操作、サービス妨害、盗聴といった実際の脅威に対する対策を評価する。評価項目をエラー! 参照
元が見つかりません。に示す。また、以下に 4種類の評価項目を示す。
ホームネットワーク内の攻撃の検知・遮断:ホームネットワーク内において様々なシナリオで家庭内の機
器に疑似攻撃を行い、攻撃を検知・遮断できるか調査する。
33
ホームネットワークから外部への攻撃の検知・遮断:マルウェア感染した家庭内の IoT 機器や攻撃ツー
ルを用いてホームネットワークからインターネットへの攻撃を行い、攻撃の検知・遮断状況を調査する。
外部からホームネットワークへの攻撃の検知・遮断:マルウェア感染した IoT 機器や攻撃ツール、インタ
ーネットからの実攻撃を用いてインターネットからホームネットワーク内の機器に対する攻撃を検知・遮断
できるかを調査する。
その他:ホームネットワーク内の機器の脆弱性を能動的に検知するか調査する。
表 13 セキュリティ評価項目
大項目 種類 項目 実施方法例
内→内
Scan/
Exploit
Port scan Nmap
脆弱性 scan/
SQLinjection
Metasploit
Remote access
(ssh, telnet)
Metasploit
DoS DoS マルウェア/hping3
内→外
Scan/
Exploit
Port scan Nmap
脆弱性 scan/
SQLinjection
Metasploit
Remote access
(ssh, telnet)
Metasploit
DoS マルウェア/hping3 マルウェア/hping3
URL Block URL Block Fishtank の一週間分URL list
外→内
Scan/
Exploit
Port scan Nmap
脆弱性 scan/
SQLinjection
Metasploit
Remote access
(ssh, telnet)
Metasploit
DoS DoS マルウェア/hping3
悪意サイトの誘導 悪意サイトの
誘導
ルーターWAN 側からルーティングを
改ざんする
実攻撃の検知 実攻撃の検知 マルウェア/実攻撃の引き込む
その他
脆弱性診断
脆弱性診断
脆弱な機器を設置
34
(3) ホームネットワークセキュリティ製品の評価
市販されている2種類のホームネットワークセキュリティ製品の評価を行った(以降では、これらの製品
を製品 A、B と呼ぶこととする)。これらの製品は、テストベッド内の Wi-Fi ルーターに接続されている状
態で実験を行った。実験結果を表 15 に示す。また、以下に実験結果を示す。
ホームネットワーク内部の攻撃への対応:ネットワークスキャンツール Nmap[24]を用いてホームネットワ
ーク内の IoT 機器の全ポートスキャンを行った。また、脆弱性スキャンツール Metasploit[25]を用いてホ
ームネットワーク内の IoT 機器の脆弱性スキャン、Telnet ログイン試行を行った。さらに、ハニーポットで
収集したマルウェア検体(MD5 ハッシュ値:b66d2425ea49f73c9d09f8999c26c93c、Bitdefender[26]による
検知名: Ge:Variant.Backdoor.Linux.Gafgyt.1)をサンドボックス内で実行し、ホームネットワーク内の IoT
機器に DoS 攻撃を行うとともに、DoS 攻撃の効果を比較するため、DoS 攻撃ツール hping3[27]を用いて
ホームネットワーク内の IoT 機器に DoS 攻撃を行った。実験の結果、製品A は Wi-Fi ルーターとホーム
ネットワークセキュリティ製品本体に対するポートスキャンを検知・遮断した。しかし、その他の疑似攻撃
は検知することができなかった。また、製品B はいずれの疑似攻撃も検知することができなかった。
ホームネットワーク内部から外部への攻撃への対応:家庭内の IoT 機器が既にマルウェア感染した状況
を想定し、インターネットに攻撃を行った場合にホームネットワークセキュリティ製品が攻撃を検知するか
調査した。実験は、ホームネットワーク内部の攻撃への対応と同じ疑似攻撃をホームネットワークの外部
に用意した犠牲ホストに対して行った。実験の結果、製品Aは犠牲ホストから応答があったTelnetログイ
ン試行を検知した。また、PhishTank[28]を用いて収集した一週間分のフィシングURLをホームネットワー
ク内のパソコンでアクセスしたところ、いずれの製品も検知率は 80%を越えた。しかし、その他の疑似攻
撃は検知することができなかった。
外部からホームネットワーク内部への攻撃への対応:ホームネットワーク内部の攻撃への対応と同じ疑似
攻撃をホームネットワークの外部に用意した犠牲ホストから、ホームネットワーク内の IoT 機器に対して行
った。実験の結果、Wi-Fi ルーターがマルウェア感染し、ホームネットワーク内の機器が攻撃を受けて応
答した場合に製品 A が攻撃を検知した。しかし、その他の疑似攻撃は検知することができなかった。ま
た、製品B はいずれの疑似攻撃も検知することができなかった。
ホームネットワーク内の機器の脆弱性チェック:実験に用いたホームネットワークセキュリティ製品はホー
ムネットワーク内に接続された機器を検知して一覧表示する機能を持つ。また、接続されている機器をス
キャンして脆弱性があるかユーザーに提示する。そこで、ホームネットワーク内に認証が必要な管理
Web UIを有する機器を用意するとともに、Telnetサービスが動作している機器に対して弱いログイン ID/
パスワードを設定した。実験の結果、通信観測部で観測した通信を分析したところ、製品 A は内蔵する
ID/パスワードセットリストを用いて家庭内の IoT 機器の Web UI にログイン試行を行い、脆弱性チェック
を行っていた。製品A は IoT 機器のベーシック認証[29]の Web UI の弱い ID とパスワードを指摘するこ
とに成功した。しかし、製品B は検知することができなかった。
以上の結果から、製品 A はいくつかの項目において攻撃を検知したが、検知できない攻撃も多数確
認された。一方、製品 B についてはフィッシングサイトのブロック以外に攻撃を検知できなかった。このこ
とから、いずれの製品もホームネットワークへの攻撃を検知する能力や家庭内の Wi-Fi ルーターを保護
する能力が十分ではない可能性がある.
35
表 14 ホームネットワークセキュリティ製品の評価結果
大項目 項目 実施方法 製品A の反応 製品B の反応
内→内
Port scan Nmap で IoT デバイスに
全ポートスキャンを行っ
た
ルーターへのスキャ
ンのみ検知・遮断
検知せず
脆弱性 scan Metasploit で家庭内の
IoT デバイスにスキャン
した
検知せず 検知せず
Remote access
(telnet)
Metasploit で家庭内の
デバイスに telnet試行を
行った
検知せず 検知せず
DoS マルウェア/hping3 検知せず 検知せず
内→外
Port scan Nmap でグローバル IP
に全ポートスキャンを行
った
検知せず 検知せず
脆弱性 scan Metasploitで家庭Wi-Fi
ルーターにスキャンした
検知せず 検知せず
Remote access
(telnet)
Metasploitで外のデバイ
スに telnet試行を行った
セッション確立時に
検知
検知せず
DoS マルウェア/hping3 検知せず 検知せず
URL Block PhishTank の一週間分
URL list ( URL 総 数
2088)
検知確率
1684/2088
検知確率
1612/2088
外→内
Port scan Nmap で家庭 Wi-Fi ル
ーターWAN側に全ポー
トスキャンした
検知せず 検知せず
脆弱性 scan Metasploitで外部から家
庭 Wi-Fi ルーターにス
キャンした
検知せず 検知せず
Remote access
(telnet)
Metasploitで外部から家
庭 Wi-Fi ルーターに
telnet 試行を行った
検知せず 検知せず
DoS マルウェア/hping3 検知せず 検知せず
悪意サイトの誘導 ルーターWAN 側からル
ーティングを改ざんする
検知せず 検知せず
実攻撃の検知 マルウェア/実攻撃の引
き込む
感染時に検知 検知せず
その他
脆弱性診断
脆弱な機器を
設置する
管理UI の
脆弱なベーシック認
証検知
検知せず
36
3-7 まとめと今後の課題
本研究では、一般消費者の家庭環境を模擬した 16種類のネットワーク接続可能な機器からなるテスト
ベッドを構築し、疑似的な攻撃をテストベッド内で試行することで家庭内の機器への影響を検証した。実
験の結果、家庭内の多くの機器が影響を受けた。また、Wi-Fi ルーターを経由してホームネットワーク内
の機器への疑似攻撃を行い、ホームネットワークに一定の影響を与えることで機器の動作を阻害するこ
とができた。インターネットからホームネットワークへの攻撃を明らかにするため、 IoT マルウェアの通信
ログを分析して LAN 側へスキャンを行う検体を特定し、実際にテストベッド内の Wi-Fi ルーター上で実
行して攻撃を再現した。実験の結果、家庭内の機器への攻撃を確認することができた。一方、インター
ネットからの攻撃をテストベッドに引き込む観測実験を一週間行ったが、ホームネットワーク内への攻撃
の侵攻は確認されなかった。これらの結果に基づき、ホームネットワークにおける評価項目を検討し、現
在市場で販売されているホームネットワークセキュリティ製品に対する評価実験を行った。実験の結果、
実験に用いた 2 種類のホームネットワークセキュリティ製品はホームネットワークへの攻撃に対する検知
能力および Wi-Fi ルーターを保護する能力が十分でない可能性があるため、今後の機能強化などの対
策は必要であると言える。
本研究の実攻撃の観測のデータは十分でないため、インターネットから家庭ルーターを経由して届く
攻撃の実態を把握するために攻撃観測用の IP アドレス数を増やし、長期間の観測を行うことが今後の
課題である。さらに、インターネットからホームルーターを経由して届く攻撃の実態把握、UPnP 等により
ホームルーターのポートフォーワーディング設定を自動的に行うことでインターネットからの攻撃を直接
家庭内に引き入れてしまう機器の影響の分析が今後の課題である。
4. 提言
当研究プロジェクトの最終報告のまとめとして、IoT 機器のメーカーおよびサービス事業者に向けて、安全な
IoT 機器のセキュリティ対策に関する提言をします。
■家庭用 IoT 機器のセキュリティ対策に関する 3 つの提言
1. 家庭内のルーター機器、IoT 機器の保護機能の強化
ルーター機器やスマート家電など IoT 機器提供各社においては、機器が使用する OS や各種ソフトウ
ェア,ライブラリの脆弱性に対応すると共に、Telnet などのユーザーが認知しえないバックドアを設けない
など、サイバー攻撃への対策が採られる必要がある。また一旦利用開始されると放置されがちであるル
ーター機器や IoT 機器は、初期設置時に管理機能へアクセスする ID、パスワードの設定を変更するよう
促すユーザーインターフェースの導入が望ましい。脆弱性が発見された場合のアップデートを自動的に
実行する、もしくはパソコンやスマートフォンなどに通知し、アップデートの実行を促す仕組みの導入も
望まれる。
一般消費者においては、脆弱性の公開やアップデートなどセキュリティ対策を継続的に行っているメ
ーカーの機器を選択することを推奨する。
2. IoT 機器の通信の暗号化、認証機能の実装とガイドラインの整備
安価な IoT 機器は、セキュリティ面での機能が十分に考慮されていないものが多い。通信が平文で行
われている、遠隔操作における認証が行われない機器は、容易に不正操作を行われる危険性がある。
IoT 機器のメーカーによる通信の暗号化と認証機能の実装が望まれる。
一般消費者においては、遠隔操作機能のある IoT 機器においては、操作コマンド通信の暗号化や認
証機能により、不正操作への対策が採られていることを確認することを推奨するが、実際には一般消費
37
者がこのような確認を行うことは技術的に困難である。今後、このような遠隔操作機能のある機器のセキ
ュリティ要件を検討し、ガイドライン等として定め、それに従っていることを一般消費者が判断可能となる
ような認証等の制度の整備が望まれる。
3. IoT マルウェア対策への継続した評価
従来の PC やモバイル機器を対象とするウイルス対策では、これらの IoT 機器に対するマルウェアや
脅威への対応を行うことはできない。このため、まず最初に家庭内の LANに接続されている IoT機器す
べてを把握し、IoT 機器に脆弱性や不正な通信がされていないか、未確認の不正な機器が接続されて
いないかなどを把握することが重要といえる。
2017 年より登場しているホームネットワークセキュリティ製品は、接続機器を可視化し、機器の脆弱性
検知や設定変更やアップデートを促したり、不正なトラフィックを監視する機能を備えている。このような
ネットワーク保護機能を有したセキュリティ製品の導入は、家庭内のネットワーク接続機器を把握し、それ
らのセキュリティ状態を把握する上で一定の効果が期待されるが、変遷を続けるサイバー攻撃に追随す
る防御機能を有するかについては継続した評価が必要といえる。
38
参考文献
[1] “Mirai: New wave of IoT botnet attacks hits Germany”.
http://www.symantec.com/connect/blogs/mirai-new-wave-iot-botnet-attacks-hits-germany, (参照 2017-
08-04).
[2] “Source Code for IoT Botnet‘ Mirai’ Released”.
https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-
mirai-released/, (参照 2017-08-04).
[3] “DDoS on Dyn Impacts Twitter, Spotify, Reddit”,
https://krebsonsecurity.com/2016/10/ddos-on-dyn-impacts-twitterspotify-reddit/, (参照 2017-08-04).
[4] “ モ バ イ ル 向 け ラ ン サ ム ウ ェ ア 「 FLocker 」 , ス マ ー ト テ レ ビ に も 影 響 ”.
http://blog.trendmicro.co.jp/archives/13453, (参照 2017-08-08).
[5] Yin Minn Pa Pa, S. Suzuki, K. Yoshioka, T.Matsumoto, T.Kasama, and C.Rossow, “IIoTPOT:Analaysing
the Rise of IoT Compromises, “ 9th USENIX Workshop on Offensive Technologies (USENIX WOOT 2015),
2015.
[6] 鈴木将吾, インミンパパ, 江澤優太, 鉄穎, 中山颯, 吉岡克成, 松本勉. 組込み機器への攻撃を観測
するハニーポット IoTPOT の機能拡張. 電子情報通信学会 信学 技報, vol.115, no.488, ICSS2015-47,
pp.1-6, 2016.
[7] 中山颯, 鉄穎, 楊笛, 田宮和樹, 吉岡克成, 松本勉. IoT機器へのTelnetを用いたサイバー攻撃の分
析. 情報処理学会コンピュータセキュリティシンポジウム 2016, セッション 3E1, 2016.
[8] 楊笛, 保泉拓哉, 中山颯, 鉄穎, 吉岡克成, 松本勉. IoT マルウェアによる DDoS 攻撃の動的解析に
よる観測と分析. 暗号と情報セキュリティシンポジウム 2017, セッション 3E1-3, 2017.
[9] April, Manos Antonakakis Tim, et al.. Understanding the Mirai Botnet. USENIX Security Symposium,
2017.
[10] “制御システムセキュリティの脅威と対策の動向および CSSC の研究概要について”. http://www.css-
center.or.jp/pdf/about_CSSC.pdf, (参照 2017-08-04).
[11] 宮地利幸, 中田潤也, 知念賢一, 三輪信介, 岡田崇, 三角真, 篠田陽一. StarBED: 大規模ネット
ワーク実証環境. 情報処理 2008, 49(1), 57-70.
[12] 岩橋紘司, 井上朋哉, 篠田陽一. Internet of Things を対象とした大規模実証実験環境構築に関す
る研究. マルチメディア, 分散協調とモバイルシンポジウム 2014 論文集 2014, 1258-1263, 2014-07-02..
[13] 目黒有輝, 村瀬一郎, 細川嵩. スマートメーターシステムのセキュリティ確保に向けた CSSC の取り
組み. 自動制御連合講演会講演論文集 第 59回自動制御連合講演会, 2016.
[14] “スマートホームを想定した連携 IoT 機器のセキュリティ検証用テストベッドの構築”,
http://www.soumu.go.jp/main_content/000423702.pdf, 3p, (参照 2016-06-28).
[15] “Openwrt”, https://openwrt.org/,(参照 2017-12-11)
[16] “MQTT - A lightweight messaging protocol for small sensors and mobile devices”, http://mqtt.org/, (参
照 2017-03-15)
[17] Wagner, David, and Bruce Schneier. Analysis of the SSL 3.0 protocol , The Second USENIX Workshop
on Electronic Commerce Proceedings. Vol. 1. No. 1. 1996.
[18] “Iptables”, https://linux.die.net/man/8/iptables,”(参照 2017-12-11)
[19] “MIPS”, https://en.wikipedia.org/wiki/MIPS_architecture,(参照 2017-12-11)
[20] “MIPSEL”, https://fr.wikipedia.org/wiki/MIPSel,(参照 2017-12-11)
[21] “Dr. Web”, https://en.wikipedia.org/wiki/Dr._Web,(参照 2017-12-11)
[22] 田宮 和樹,中山 颯,江澤 優太,鉄 穎,呉 俊融,楊 笛,吉岡 克成,松本勉, “IoT マルウェア駆
除と感染防止に関する実機を用いた実証実験”,暗号と情報セキュリティシンポジウム 2017 7, セッション
3E1-5, 2017 (SCIS 論文賞).
39
[23] “新たなサーバー攻撃から家を守るための’ホームネットワークセキュリティ’とは〜機器ごとではなく丸
ごと保護”
http://internet.watch.impress.co.jp/docs/special/1069738.html, (参照 2017-12-2).
[24] “Nmap”, https://nmap.org/, (参照 2017-12-2).
[25] “Metasploit”, https://www.metasploit.com/(参照 2017-12-2).
[26] “BitDefender” https://en.wikipedia.org/wiki/Bitdefender,(参照 2017-12-13)
[27] “Hping - Active Network Security Tool”, www.hping.org, (参照 2017-12-13)
[28] “PhishTank”, https://www.phishtank.com/,(参照 2017-12-2).
[29] “Basic 認証(基本認証)でアクセス制限をかける方法”,
https://allabout.co.jp/gm/gc/23780/, (参照 2017-12-10).
[30] Symantec: IoT devices being increasingly used for DDoS attacks
https://www.symantec.com/connect/blogs/iot-devices-being-increasingly-used-ddos-attacks, ( 参 照
2017-12-10).
[31] VirusTotal, https://www.virustotal.com/ja/, (参照 2018−1−30).
本共同研究に関する対外発表
1) 熊佳、楊志勇、鉄穎、中山颯、江澤優太、藤田彬、吉岡克成、松本勉、"実攻撃の観測と疑似攻撃の試行
に基づくホームネットワークセキュリティ評価フレームワークの検討," 2018 年暗号と情報セキュリティシン
ポジウム, セッション4E2−4, 2018.
2) 楊志勇, 熊佳, 鉄穎, 田宮和樹, 西田慎, 楊笛, 藤田彬, 吉岡克成, 松本勉, "ホームネットワークテスト
ベッドによるサイバー攻撃の観測と検証," 情報処理学会コンピュータセキュリティシンポジウム 2017, セ
ッション1C4−2, 2017.
40
【別紙】本共同研究に関する報道等
2017 年 6月 27 日 Yahoo! Japan、日本経済新聞(Web)
2017 年 6月 28 日 日本経済新聞(本紙)、日経産業新聞、ASCII.jp
2017 年 6月 29 日 CNET JAPAN、SankeiBiz
2017 年 6月 30 日 マイナビニュース
2017 年 7月 3 日 INTERNET Watch、電経新聞
2017 年 7月 10 日 電波タイムズ
2017 年 7月 18 日 NHK「おはよう日本」、NHKBS「BS ニュース」、NHK NEWS WEB
2017 年 7月 27 日 日経産業新聞
2017 年 8月 16 日 読売新聞
2017 年 9月 21 日 InternetWatch、ScanNet Security
2017 年 9月 6 日 Wirelesswire
2017 年 9月 21 日 INTERNET Watch
2017 年 9月 26 日 Wirelesswire
2017 年 9月 28 日 大学ジャーナル
2017 年 10月 3 日 IoT News
2017 年 10月 9 日 調査のチカラ(IT Media)
2017 年 11月 1 日 InternetWatch、ScanNet Security、Security Insite
2017 年 11月 20日 Excite News
2017 年 12月 19日 ScanNet Security、
2017 年 11月 20日 IoT News
2017 年 11月 21日 IoT Today、ScanNet Security
2017 年 11月 24日 NHK NEWS WEB
2017 年 11月 26日 NHKスペシャル「あなたの家電が狙われている ~インターネットの新たな脅威~」
2017 年 11月 27日 ScanNet Security、Resemom
2017 年 12月 3 日 NHK サイエンス ZERO「家電が狙われる!?新たなサイバー犯罪の脅威」
2018 年 12月 18日 ZDnet、BIFLOBE News
2017 年 12月 19日 Security Insite、ScanNetSecurity
2018 年 1月 23 日 Cnet
<誤表記に関する修正>
2018.04.13
P11 の表3の誤表記を修正 誤「18 位イギリス」
正「18 位ギリシャ」
P14 の文中の誤表記を修正 誤 「ユニークな攻撃ホスト数は 204,256 であった。」
正 「ユニークな攻撃ホスト数は 304,256 であった。」
