ウイルス感染IoT機器からのサイバー攻撃が急増 横浜国立大学・BBSS IoTサイバーセキュリティ 共同研究プロジェクト

横浜国立大学とソフトバンクグループのBBソフトサービス(株)が、2017年6月27日から開始した共同研究プロジェクトにおけるIoT機器を狙ったサイバー攻撃の観測状況を報告した。

◆アクセスホスト数・攻撃ホスト数
下記は2017年7月~8月の日次のアクセスホスト数、攻撃ホスト数の推移。

図1:アクセスホスト・攻撃ホスト数推移
(8月26-27日は研究棟メンテナンスに伴う停電によりデータ取得無し)

図1に示す通り、観測システムで観測されるIoT機器を狙った攻撃は8月に入り急増した。
具体的には、7月31日に約1.7万IPアドレス/日からの攻撃を観測していたのに対して、8月1日には、約1.5倍の2.6万IPアドレス/日からの攻撃を観測した。この原因はメキシコからのアクセスホスト数と攻撃ホスト数が8月に入り急増したのが原因。観測されたホスト群の機器種別を調査したところ、7月には全く観測されていなかった、あるルータ製品のものと思われる特徴が確認された。
メキシコで多数使用されている当該ルータ製品がサイバー攻撃により乗っ取られ、攻撃者に操られて外部に攻撃を行っていることが予想される。今後も当該機器からの攻撃の観測を継続していく。

◆国別攻撃ホスト数
攻撃ホスト数を国別に分類したもので、8月は192カ国から攻撃を観測し、総攻撃ホスト数(ユニークな攻撃ホスト数)は382,876件であった。

図2:攻撃ホスト数国別順位

攻撃ホスト数の上位国(20位まで)は図2のようになっている。
メキシコが最も多く全体の1/4を占め、中国、ブラジル、インド、ロシア、トルコ、イラン、アメリカ、アルゼンチン、ベトナムと続いている。特に7月は14位だったメキシコが中国を抜いて1位となっている点が最も大きな変化といえる。前述の通り、メキシコで多く使われているネットワーク機器がIoTウイルスに多く感染したためと推定される。
(上記は単純な攻撃ホスト数のカウントであり正規化を行っていないため、人口やインターネット利用者数が多い国が上位に来ている点に注意が必要。)

◆ウイルス検知状況
検知されたウイルスをウイルス検査サービスVirusTotalにて複数のアンチウイルスエンジンで検査した結果。

図3:ウイルス検知数

図3は、観測システムで収集したIoTウイルス検体を、VirusTotalにて4社のアンチウイルスエンジンにかけて検査をした結果。各社のエンジンによって検知数、検知名称、分類などが異なるが、それぞれLinux.Lightaidra(A社)、Backdoor.Linux.Gafgyt(B社)、 BASHLITE(C社)、 Linux/Mirai (D社)の検知数が非常に多くなっている。
(上記は検体ハッシュ値をVirusTotalに投稿した結果で、過去にVirusTotalに投稿された検体のみの結果が示される。観測システムで収集可能なウイルスの傾向には偏りがあるため、この結果がそのままIoTウイルスの流行の全体傾向を示しているものではない。)

横浜国立大学 情報・物理セキュリティ研究拠点
http://ipsr.ynu.ac.jp/

BBソフトサービス(株)
https://bbss.co.jp/

1 個のコメント

  • コメントを残す

    メールアドレスが公開されることはありません。