SecurityInsight | セキュリティインサイト

横浜国立大学とBBソフトサービス、IoTサイバーセキュリティ共同研究プロジェクトの中間発表

横浜国立大学とBBソフトサービスは10月31日、IoT機器を狙ったサイバーセキュリティ脅威の一般消費者への影響を調査する共同研究プロジェクトの成果について、中間発表を行なった。その概要は以下のとおり。

・実施期間
2017年7月1日~9月30日

●ハニーポットによるサイバー攻撃観測概況
7月~9月の間に1日約2.2~3.9万IPアドレスからのアクセス(アクセスホスト数)、1日約1.6万~2.9万IPアドレスからの不正な侵入(攻撃ホスト数)を観測した。8月には攻撃が大幅に増加している。

さらに攻撃ホストの状況を分析すると、8月の増加はメキシコにおける攻撃ホストの急増に原因があることが判った。7月には観測されなかったルーター製品などからの攻撃が確認され、その機器がメキシコにて大量感染した恐れがある。

この共同研究プロジェクトでは、将来予測のために、研究施設で使用するネットワーク機器やIoT機器を対象に、実在マルウェアによる攻撃や脆弱性の調査を行ない、可能性が考えられる攻撃手法を独自に研究しており、これまで、家庭内ネットワークのサービス妨害(DoS)攻撃、マルウェアによるスマート電源の不正な遠隔操作などの攻撃手法をデモンストレーションとして公開してきた。

今回、新たな研究成果として2種の擬似攻撃に関するデモンストレーションビデオを発表した。

●デモンストレーション1:IoTランサム攻撃(身代金を要求する攻撃)
家庭内のルーターを不正に操作し、インターネットの接続先を攻撃者が用意した不正なウェブサーバーへ強制転送させる攻撃デモンストレーション。攻撃者がコマンドを実行すると、スマートテレビやスマートフォン、パソコンのブラウザーやアプリが外部のインターネットサービスに接続する際に、攻撃者が用意した罰金支払いの警告メッセージを読み込み、画面に表示する。

利用者は原因を知ることができず、パソコンやスマホのセキュリティソフトでも検知することができないため、騙されて警告に従い罰金を支払う可能性がある。

●デモンストレーション2:スマートリモコンの不正な遠隔操作
家庭内のスマートリモコンの脆弱性を利用し、正規のスマートフォンアプリを使用せずに、家庭内のエアコンの操作を実行する攻撃デモンストレーション。エアコンや暖房機器などの熱を発する電化製品は、不正な遠隔操作をされた場合、生活者の健康被害につながる可能性もある。

これらのデモンストレーションは、現実的なシナリオで擬似攻撃を行なっており、IoT機器の多くが攻撃者が家庭内に侵入した場合を想定した設計がされておらず、脅威に対して無防備であることを示している。
 

関連リンク

プレスリリース