最近のサイバー攻撃で最も恐ろしいのは、あなたの周囲にあるデバイスが攻撃の原因となる可能性があることです。 Twitter が破壊されるまで、あなたのホーム アシスタントはとてもクールでした。
金曜日、ユーザーの Web サイトへの接続を支援するドメイン ネーム サーバーをホストする企業、Dyn が 2 件の大規模な分散型サービス拒否攻撃 (DDoS) に見舞われました。ドメイン ネーム サーバー (DNS) はインターネットの GPS であり、ブラウザにアドレスを入力すると、Web サイトのデータがどこにあるかがわかります。
金曜日、彼らは激しく打ち砕かれた。 DDoS 攻撃により、Twitter、Spotify、Paypal など、Dyn のサービスに依存する多数の大規模な Web サイトやサービスに人々がアクセスできなくなりました。膨大な量の DNS が影響を受けたため、インターネットの多くが機能しなくなりました。
DDoS はシンプルだが効果的なサイバー攻撃で、数百万台のマシンが特定のサーバーに継続的にトラフィックを攻撃するように指示されます。この場合、ターゲットはDynでした。これらの攻撃に使用されるコンピューターのネットワークは通常ボットネットと呼ばれ、ボットネット内のデバイスはゾンビと呼ばれます。
これらの特定の攻撃の恐ろしい部分は何でしょうか?この種の攻撃を開始するための指示は、オンラインで入手できた可能性があります。もう一つの恐ろしい部分は?数百万台のモノのインターネット (IoT) デバイスが使用されていたため、インターネットに接続されているものはすべてゾンビになる可能性があります。これは、テレビ、スマートウォッチ、ホームアシスタント、コーヒーマシン、その他インターネットに接続されているあらゆるものが攻撃の一部として使用された可能性があることを意味します。
これらの攻撃は正確にどのようにして起こったのでしょうか?
少し話を戻しましょう。 9 月、セキュリティ Web サイト KrebsOnSecurity当時最大規模のDDoS攻撃を受けた。 Krebs 攻撃の背後にあるボットネットは、デフォルト設定を持つ脆弱な IoT デバイスを探してインターネットをスキャンする、Mirai として知られる特定のマルウェア コードを使用しました。たとえば、ユーザー名とパスワードを admin、admin から変更していません。
マルウェアは、数百万台の脆弱なデバイスを見つけると、それらを使用して大規模なトラフィックを開始します。
によるとクレブスオンセキュリティ, Mirai は、ゾンビの軍隊をまとめてターゲットに攻撃を実行するために使用されている 2 つのマルウェア ファミリのうちの 1 つです。 KrebsOnSecurityのBrian Krebs氏はこう語った。マッシュ可能彼は2つの攻撃が関連しているのではないかと疑った。
クレブス攻撃から 1 か月後の先週、ハッカーはマルウェアのソース コードをハッキング コミュニティの Hackforums で公開しました。これにより理論的には、複数のハッカーグループがコードを入手し、金曜日に見られた規模のDDoS攻撃を仕掛けることが可能となった。
インターネットに接続されるものが増えるほど、攻撃の痕跡はますます大きくなります。
金曜午後、サイバーセキュリティ企業フラッシュポイントが明らかにした。マッシュ可能その分析により、Dyn 攻撃では同じマルウェア Mirai が使用されたことが示されましたが、攻撃の実行にはまったく異なるデバイスのグループが使用されました。
マッシュ可能な光の速度
「Flashpointは、Dynインフラストラクチャに対して発行されたMirai攻撃コマンドを観察した」と同社は分析の中で述べている。 「アナリストはこの活動の潜在的な影響をまだ調査中ですが、他のボットネットが関与しているかどうかはまだ明らかではありません。」
同社は、攻撃に使用されたスマートデバイスにはデジタルビデオレコーダー(DVR)が含まれていたと述べた。
Dyn氏は土曜日、トラフィックソースの1つがMiraiに感染したデバイスだったことを認めた。 Dyn の最高戦略責任者 Kyle York 氏は、「攻撃の一部である Mirai ボットネットに関連する数千万の個別の IP アドレスを観察しました」と述べています。と声明で書いた。
Darktrace のサイバー インテリジェンスおよび分析担当ディレクターの Justin Fier 氏は次のように述べています。マッシュ可能攻撃のタイミングからもミライの可能性が示唆された。
「[Dyn]はそれがMiraiだったかどうかは明言していないが、タイミング的には2週間前に史上最大のボットネットが記録され、その1週間後にはソースコードが公開され、その後また大規模なボットネットができたような気がする」大手ウェブサイトを排除する」と彼は語った。
「彼らは小さなコードを書き、それを展開しました。そして今では、これらすべてのモノのインターネット デバイス (ほとんどの人はセットアップするだけで忘れてしまいます) が積極的に DDoS 攻撃に参加しています。したがって、これがおそらく問題であることを示す強力な兆候があります。主な理由は、その攻撃を行ったグループが先週ソースコードを公開したことだ」とフィアー氏は語った。
フィアー氏はまた、グループ自身が攻撃を主張しない限り、このような攻撃が特定の場所やサイバーギャングによるものであると判断するのは非常に難しいと述べた。これは、世界中で何百万台ものデバイスが使用されているという事実によるものです。
「現在、他のサイバーギャングもそのソースコードを使用できるようになっています。それは1つのギャングだけが保有しているものではなく、全世界に公開されています」とフィアー氏は語った。 「アノニマスでも、その他のハクティビストグループでも、誰でもすぐにそれを手に入れることができます。」
デバイスを保存するにはどうすればよいですか?
消費者は、自分のデバイスがこれらの大規模な攻撃に使用される可能性があることを認識する必要があります。 Fier 氏は、デバイスを DDoS 攻撃から守るために、デバイスを常に最新の状態に保つこと、パスワードをデフォルトのパスワードから変更し、定期的に更新することを提案しました。
「恐ろしいのは、これらのデバイスの多くは、設定しただけで忘れられてしまうことです」と彼は説明しました。 「私たちはあまり注意を払っておらず、これらのデバイスの多くにはウイルス ソフトウェアが搭載されていないため、これらのデバイスをクリーンアップしてボットネットの一部であることを検出することは非常に困難になるでしょう。」
最も恐ろしいのは、これがこの種の攻撃の始まりに過ぎないということです。ソースコードがオンラインにあるだけではなく、「インターネットに接続されるものが増えるほど、攻撃の痕跡はますます大きくなる」とフィアー氏は説明する。
更新: 2016 年 10 月 22 日、午後 5 時 56 分 (東部夏時間)Dyn のブログ投稿でと同社は、この攻撃には数千万のIPアドレスが関与していたことを認めた。この記事は、数十億台ではなく数百万台のデバイスが使用されたことを反映して更新されました。 Dyn氏も声明の中で、複数の攻撃があったことを認めた。
修正: 元の話では、Amazon Echo デバイスが攻撃に使用された可能性があると述べられていました。これは間違いです。ただし、ルーターには注意してください。