"BOKU"のITな日常

62歳・文系システムエンジニアの”BOKU”は日々勉強を楽しんでます

IOTが舞台の善玉・悪玉入り乱れてのワーム同士の覇権争い。/サイバー犯罪・マルウェア

IOTを舞台に「仁義なき戦い」が繰り広げられているみたいです。

f:id:arakan_no_boku:20180926211746j:plain

 

 

まずは用語の整理から

 

先に用語の整理をします。

まず「マルウェア」です。

マルウェアというのは「悪意のあるソフトウェア」の総称です。

英語の「malicious」(悪意があるという意味)と「software」(ソフトウェア)を組み合わせた造語です。

マルウェアと一口に言っても色々種類があります。

有名どころは、以下の3つです。

  • ウィルス:他のプログラムに寄生して、自己を増殖して感染する。
  • ワーム:他のプログラムに寄生せず自分単独で存在可能で、自己を増殖していく。
  • トロイの木馬:内部に侵入潜伏し、外部からの操作で悪さをする。自己増殖はしない。

今回の記事のテーマにしているのは「ワーム」です。

それもPCではなく、Linux等の汎用OSが組み込まれたルーター・WEBカメラ・DVR(デジタルビデオレコーダー)などのIOT機器が主戦場になっているやつです。

 

Mirai 対 Hajime

 

自分がHajimeの存在を知ったのは、昨年春ころの以下の記事です。

www.symantec.com

Symantecは「善意のハッカー」と呼んでいます。

HajimeがIOT機器に感染(インストール)すると、MiraiがIoT デバイスで悪用できる可能性があるポート(23、7547、5555、5358 の各ポート)アクセスを遮断します。

ちなみに。

  • 23:TELNET
  • 7547:CPE WAN Management Protocol (CWMP)
  • 5555:Freeciv versions up to 2.0, Hewlett-Packard Data Protector, McAfee EndPoint Encryption Database Server, SAP, Default for Microsoft Dynamics CRM 4.0
  • 5358:WSDAPI Applications to Use a Secure Channel

です。

善意の・・と言われているだけあって、Hajime には分散サービス拒否(DDoS)とかの攻撃コードを持っていません。

かわりに、コントローラからのメッセージを、およそ 10 分ごとにターミナル上に表示します。

まあ、その程度です。

機能面でみても、Hajimeは後発だけあって、Miraiより優れています。

Mirai では、コマンド & コントロール(C&C)サーバーが必要ですが、Hajime はピアツーピアのネットワーク上に構築されていて解体が難しくなってます。

また、Hajime は、Mirai よりステルス性も機能も向上しています。

Hajime の作成者が感染したマシン上で、いつでもシェルスクリプトを開くことができたり、コードがモジュール式されていて、実行中でも新しい機能を追加できたり。

相当に高度な設計がされているみたいです。

だから、最終的にはHajimeが勝つ可能性が高いです。

でも、それで正義が勝った・・万歳!で終われるか?

いやいや。

違いますよね。

いつでも新しい機能を追加できるということは、Hajimeの作者の気が変わって、攻撃的機能を追加したら、新しく強力な新たな「悪玉」がでてくるだけですから。

これではテロリストが治安維持機能を果たしている紛争地域みたいなもんです。

 

IOTの世界では善玉ワームに頼るしかないのかという議論

 

同じような話題がもうひとつ。

2018年8月に開催された「DEF CON 26」で、マット・ウィクシー氏(英PwC サイバーセキュリティ実践部門)が行ったプレゼンテーションの内容です。

www.itmedia.co.jp

引用します。

ウィクシー氏は、研究の一環として、既にワームに感染しているネットワークカメラなどのIoT機器からバックドアを消去し、感染の原因となる脆弱な機能を無効化するNematodeを作成。

プレゼンテーションの中でそのデモンストレーションを行いました。

さらに発展系として、過去に登場した「Polypedo」ワームを参考に、機器中のフォルダに保存されている画像をスキャンして、いくつかのアルゴリズムを用いて著作権や人権侵害につながる画像が保存されていたら検出し、警告するプログラムも作成したといいます。

同氏はこのような研究を進めつつ、「Antidote」という、脆弱性を検証できる「Metasploit」のようなアンチワームフレームワークの開発を進めていることも明らかにしました。

いやあ。

これは悩ましいです。

たしかに、IOT機器についてはPCやサーバーの様に管理できません。

数も多いし、セキュリティの脆弱性を緩和する手段・方法も少ない。

ウィクシー氏が言うように「正義のワーム」を開発して、それを使って「悪のワームが作ったセキュリティ上の穴をつぶさせるという手段しかないように思えます。

 

ただ。

一歩間違うと「正義のワーム」が、より強力な「悪のワーム」に姿を変えるリスクは常にあって、しかも、そうなっても本当に壊滅的な事態になるまで誰も気づけないかもしれないわけです。

だって。

正義のワームに心はないです。

開発者が心変わりすれば終わりだし、悪人に奪われてしまうかもしれない。

怖いですねえ。

ではでは。