Embed Size (px)
Citation preview
ボットネットワークを利用した家庭向け IoT に関する考察高崎商科大学 商学部:瀬川浩希
IoT とは。 IoT のコンセプトは,自動車,家電,ロボット,施設などあらゆるモノがインターネットにつながり,情報のやり取りをすることで,モノのデータ化やそれに基づく自動化などが進展し,新たな付加価値を生み出すというものである .
総務省 インターネット白書平成 27 年度版 p.12
2007 2009 2011 2013 2014 2016 012345678910
0
300
600
900
1200
1500iPhoneの性能と価格
性能 価格 / 性能
(Ghz)( ドル )
3
IoT が悪用されている事象
4
ボットネット
IRC(C&C) サーバウィルス配布サーバ サーバー
感染した機器群
未感染の機器群
攻撃先通知
感染対象を探索
感染した場合自身の情報を通知
DDoS 攻撃メール攻撃DNS 水責め攻撃
ウィルスをダウンロード
ログインに成功した機器を報告
ボットネット
5
被害者
ボットネット Mirai機能1. コントロール機能
telnet と API で操作を受け付ける ( 両者ともロシア語で認証が必要 )2. ボット機能
HTTP リクエストを送り付ける攻撃UDP パケットを送り付ける攻撃DNS 水責め攻撃 ( 存在しないドメイン名解決要求を送る )etc..
3. ダウンローダー機能6
2016 年 9 月以降の攻撃マルウェア Mirai は 6 月頃から稼働しているとされているが実際に被害が確認されたのは以下• 2016 年 9 月 20 日,ブログ Krebs on Security• 2016 年 9 月下旬,ウェブホスト提供企業 OVH• 2016 年 10 月 21 日,米 DNS 提供企業 Dyn
一時攻撃が途絶えていた , オープンリゾルバー ( 外部から参照できる DNS キャッシュサーバ ) を悪用した DNS 水責め攻撃も 9 月以降再度確認されるようになった。 7
実験内容
8
ハニーポットとは?一種のおとりサーバ重要な情報を持ったサーバやセキュリティの甘いサーバを装い攻撃者を欺く目的で利用される。今回は Cowrie( コヤスガイ ) を使用。
9
ログ収集環境サーバーの構成
OS:Linux (Ubuntu 14.04 LTS)CPU:Xeon L5630Mem:1GBHDD :50GBハニーポット 「 Cowrie 」Python ベースで稼働 (Twisted)
22 番ポートを別ポートにフォワーディングし安全性を確保。sshd と iptables で設定
10
ログの内容10 月 29 日~ 11 月 27 日の時点で約 13600 アクセスを確認。[41787,103.238.68.92][root/admin][42036,113.23.7.190][root/admin][42058,113.23.7.190][root/admin][42666,54.152.195.54][root/root][42668,54.152.195.54][oracle/oracle][42669,54.152.195.54][test/test][42670,54.152.195.54][postgres/postgres][42671,54.152.195.54][tom/123456][42672,54.152.195.54][john/123456][42673,54.152.195.54][deploy/deploy][42674,54.152.195.54][vagrant/vagrant][42676,54.152.195.54][developer/developer][42677,54.152.195.54][dev/dev][42678,54.152.195.54][tomcat/tomcat][42679,54.152.195.54][demo/demo][42680,54.152.195.54][nagios/nagios][42681,54.152.195.54][ftpuser/ftpuser][42682,54.152.195.54][git/git][42684,54.152.195.54][minecraft/minecraft][43266,207.244.104.157][test/test][43267,207.244.104.157][guest/guest][43268,207.244.104.157][user/user][43269,207.244.104.157][admin/1234][43271,207.244.104.157][admin/12345][43272,207.244.104.157][admin/password][43273,207.244.104.157][pi/raspberry][43274,207.244.104.157][ubnt/ubnt][43275,207.244.104.157][0000/0000][43276,207.244.104.157][root/0000]
[43450,116.107.192.221][root/admin][43524,103.238.68.198][root/admin][43534,103.238.68.198][root/admin][43592,123.16.189.79][root/admin][33187,58.137.28.150][defrianto/defrianto][33188,58.137.28.150][dehisce/ravin][33189,58.137.28.150][delia/delia][33190,58.137.28.150][delight/brewing][33191,58.137.28.150][delinage/delinage][33192,58.137.28.150][delinc/delinc][33193,58.137.28.150][delta/delta][33194,58.137.28.150][delta/delta123][33195,58.137.28.150][delta/denture][33196,58.137.28.150][deluge/a][33197,58.137.28.150][deluge/deluge][33198,58.137.28.150][deluge/deluge123][33199,58.137.28.150][deman/deman][33200,58.137.28.150][demarche/ptisan][33201,58.137.28.150][dembro/dembro][33202,58.137.28.150][dembro/dembro][33203,58.137.28.150][demented/demented][33204,58.137.28.150][demented/demented][33205,58.137.28.150][demigod/subadar][33206,58.137.28.150][demirep/comment][33207,58.137.28.150][demo/123456][33208,58.137.28.150][demo23/demo23][33209,58.137.28.150][demo/a][33210,58.137.28.150][demo-cms/demo-cms][33211,58.137.28.150][demo/demo]
[33212,58.137.28.150][demo/demo123][33213,58.137.28.150][demo-extranet/demo-extranet][33214,58.137.28.150][demo/passwd][33215,58.137.28.150][demo/passwd123][33216,58.137.28.150][demo/password][33217,58.137.28.150][demo/root][33218,58.137.28.150][demos/123456][33219,58.137.28.150][demos/a][33220,58.137.28.150][demos/demos][33221,58.137.28.150][demos/demos123][33222,58.137.28.150][demos/gust][33223,58.137.28.150][demos/password][33224,58.137.28.150][demo/test][33225,58.137.28.150][demo/test123][33226,58.137.28.150][den/den][33227,58.137.28.150][dendingermortgage/dendingermortgage][33228,58.137.28.150][denied/denied][33229,58.137.28.150][denis/denis][33230,58.137.28.150][denise/123456][33231,58.137.28.150][denise/a][33232,58.137.28.150][denise/denise][33233,58.137.28.150][denise/denise123][33234,58.137.28.150][denise/passwd][33235,58.137.28.150][denise/passwd123][33236,58.137.28.150][denise/password][33237,58.137.28.150][denise/root][33238,58.137.28.150][denise/test]
[33239,58.137.28.150][denise/test123][33240,58.137.28.150][denizs/denizs][33241,58.137.28.150][dennis/a][33242,58.137.28.150][dennis/dennis][33243,58.137.28.150][dennis/dennis][33244,58.137.28.150][dennis/dennis123][33245,58.137.28.150][dennise/a][33246,58.137.28.150][dennise/dennise][33247,58.137.28.150][dennise/dennise123][33248,58.137.28.150][denny/denny][33249,58.137.28.150][denny/denny][33250,58.137.28.150][dens/dens][33251,58.137.28.150][denys/denys][33252,58.137.28.150][denys/denys][33253,58.137.28.150][denzel/denzel][33254,58.137.28.150][depaiva/depaiva][33255,58.137.28.150][deportes/deportes][33256,58.137.28.150][depth/meditate][33257,58.137.28.150][derek/derek][33258,58.137.28.150][derek/derek123][33259,58.137.28.150][derenzy/derenzy][33260,58.137.28.150][derenzy/derenzy][33261,58.137.28.150][derick/a][33262,58.137.28.150][derick/derick][33263,58.137.28.150][derick/derick123][33264,58.137.28.150][derris/bugs][33265,58.137.28.150][design/a][33266,58.137.28.150][design/design]
11
Mirai に搭載されている組み合わせ上位 2 ユーザユーザ名 :root
1111 1234 12345 54321 123456666666 0 888888 admin root password pass defaultsystem user (none)
dreambox realtek Zte521 anko juantechxc3511 vizxv xmhdipc klv123 klv1234hi3518 jvbzd zlxx. 7ujMko0vizxv 7ujMko0adminikwb
ユーザ名 :admin1111 1234 12345 54321 123456
11111111 admin admin1234 password pass (none)
smcabmin 7ujMko0admin meinsm 12
実験の結果 2016/11/20 時点
13
ユーザ名 :root2 0 3 0 321 0 0
739 29 10 3 00 0 0 2 0 0 0 12 0 0 0 00 0 0 0 00
ユーザ名 :admin11 15 10 1 27
0 48 3 16 2 1
0 0 0
ログから判明したアクセス傾向
10
user password user passwor
d user passworda a apach apach2 student studentb b apach12
3 apach2 student biologyc c apach2 apach2 student math
中略 a apach student schoolxx xx apach1 apach student teacheryy yy apach12 apach student 123123zz zz apach12
3 apach student 12345614
おわりに 事例と実験から家庭向け IoT のリスクはユーザの理解度である程度軽減することが出来ることが分かった。企業も対策をしているが 100 %有効とは言えない。ユーザ、企業双方の努力と対策にとって IoT を取り巻く危険は回避できると考える。
15
今後の課題・サーバを別 IP アドレスで複数増設し、より広範囲なログ の収集。・ログを解析し IP アドレスやユーザ名パスワードの組み合わせから特定のボットネットからのアクセスを推測するスクリプトの実装。
16
参考[1] 総務省 平成 27 年版 情報通信白書: http://www.soumu.go.jp/johotsusintokei/whitepaper/h27.html (2016/11/13)[2] Mirai-Source-Code : https://github.com/jgamblin/Mirai-Source-Code/tree/master/mirai (2016/11/10)[3] Kerbs on Securityhttp://krebsonsecurity.com/ (2016/11/12)[4] JVNTA#95530271 Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威http://jvn.jp/ta/JVNTA95530271/ (2016/11/12)[5] Record-breaking DDoS reportedly delivered by >145k hacked camerashttp://arstechnica.com/security/2016/09/botnet-of-145k-cameras-reportedly-deliver-internets-biggest-ddos-ever/(2016/11/12)[6]IoT開発におけるセキュリティ設計の手引き: https://www.ipa.go.jp/files/000052459.pdf (2016/11/10)[7] Miraiソースコード徹底解剖: http://www.atmarkit.co.jp/ait/articles/1611/08/news028.html (2016/11/10)[8] BASHLITE Family Of Malware Infects 1 Million IoT Deviceshttps://threatpost.com/bashlite-family-of-malware-infects-1-million-iot-devices/120230/ (2016/11/11)[9] Cowrie SSH/Telnet Honeypot : https://github.com/micheloosterhof/cowrie (2016/10/29)[10] IoT開発におけるセキュリティ設計の手引き: https://www.ipa.go.jp/files/000052459.pdf (2016/11/14)
17
ご清聴ありがとうございました。
18
