進む武器化
攻撃者は、利用できるボットの数を増やす活動を常に行っております。ボットを増やすことで武器をより強力にするためです。ここ数年、そうした攻撃者の活動が非常に活発化しています。 本ページでは、攻撃者がどのような方法でボットを増やしているかを紹介します。
Appleリモート管理サービス (ARMS)
IT管理者は、増え続けるデバイスの資産管理を行うためにARMSと呼ばれるリモート管理サービスを利用します。現時点ではそれほど利用されておらず、デバイスの初期値はOFFになっています。一部の学術機関などでは利用をしている場合があります。ARMSの機能をONにするとインターネット越しに特定のセグメントにあるデバイスをリモートでアクセスすることができるようになります。攻撃者はこの仕組みを悪用することで、約35倍に増幅されたアンプ攻撃を仕掛けてきます。
某ネットワーク製品の脆弱性をついた攻撃
次に紹介するのは、某ネットワーク機器を製造、販売する企業が実装した機能を悪用したボット化についてです。こちらの企業の展開する製品には、設定を自動的に行う機能が実装されています。アクセスポイントなど多くの場所にばらまく必要がある製品に対して手間をかけずに設定するためにはこうした機能は有用です。しかしながら、この企業が実装したアプリケーションには脆弱性がありました。攻撃者は、この脆弱性をついてボット化をする手法を確立しました。攻撃者は、56Byte程度のUDPクエリをデバイスに送信します。クエリを受け取ったネットワークデバイスは、約35倍にパケットを増幅させ、パケットを送出します。現在、製造元がパッチを公開したため、その数は減少傾向にありますが、発生当時は48万台近くのデバイスが世界中で稼働していました。
WS-Discovery (Web Services Dynamic Discovery)
WS-Discoveryは、LAN上のデバイスの検出およびプラグアンドプレイを実現するためのプロトコルです。一般的に利用されているプロトコルではありませんが、一部の団体が利用を推奨しています。WS-Discoveryを利用した攻撃は、セキュリティ研究者によって確認されました。その際、攻撃は130回程度行われており、ピーク値で350Gbpsを観測しています。非常に増幅率が高く、パケットを300倍にすることができます。発生当時、本プロトコルを利用可能なデバイスは約65,000台ありました。
CoAP (Constrained Application Protocol)
CoAPはIoT端末での利用を期待されるプロトコルのひとつです。CoAPにより、IoT端末同士が双方向通信をできるようになります。CoAPの優れた点は通信量を少なくできることです。通信量を減らすためにメモリキャッシングを使っています。それにより、通信と処理のオーバーヘッドを削減しています。このメモリキャッシングに脆弱性がありました。この脆弱性を突いて、攻撃者は、34倍に増幅されたパケットを発生させることが可能です。CoAPは攻撃観測時には、まだ策定段階でした。2017年ごろからスマートフォンで使われるケースが劇的に増えました。特にアジアの一部地域ではその数が多く、観測当初、60万台近くの端末で利用されていました。CoAPにはセキュリティ機能がありません。セキュリティ機能がないことが本事象が大きく広がった要因と考えられます。