"BOKU"のITな日常

還暦越えの文系システムエンジニアの”BOKU”は新しいことが大好きです。

IOTが舞台の善玉・悪玉入り乱れてのワーム同士の覇権争い。/サイバー犯罪・マルウェア

IOTを舞台に「仁義なき戦い」が繰り広げられているみたいです。

f:id:arakan_no_boku:20180926211746j:plain

まあ。

IOT機器に対するセキュリティ意識が高まって、botなどに簡単に乗っ取られるようなことがなくなれば、自然消滅していく話なのかもしれないのですが。

すぐに改善する話ではないので、この抗争は当分広がることはあっても収束はないでしょうねえ。

 

まず、ややこしい用語の整理から

 

先に用語の整理をしときます。

とりあえず、本記事を読んでいただくにあたっての最低限ですが。

まず「マルウェア」です。

マルウェアというのは「悪意のあるソフトウェア」の総称です。

英語の「malicious」(悪意があるという意味)と「software」(ソフトウェア)を組み合わせた造語です。

マルウェアと一口に言っても色々種類があります。

有名どころは、以下の3つです。

  • ウィルス:他のプログラムに寄生して、自己を増殖して感染する。
  • ワーム:他のプログラムに寄生せず自分単独で存在可能で、自己を増殖していく。
  • トロイの木馬:内部に侵入潜伏し、外部からの操作で悪さをする。自己増殖はしない。

今回の記事のテーマにしているのは「ワーム」です。

それもPCではなく、Linux等の汎用OSが組み込まれたルーター・WEBカメラ・DVR(デジタルビデオレコーダー)などのIOT機器が主戦場になっているやつです。

 

Mirai 対 Hajime

 

自分がHajimeの存在を知ったのは、昨年春ころの以下の記事です。

www.symantec.com

Symantecが「善意のハッカー」と書いているので、そうなのかなと思ってました。

実際、HajimeがIOT機器に感染(インストール)すると、そのIOT機器のセキュリティは向上します。

Miraiが狙う、IoT デバイスの多くで悪用できることが知られているサービスをホストしているポート(23、7547、5555、5358 の各ポート)へのアクセスが遮断します。

ちなみに。

  • 23:TELNET
  • 7547:CPE WAN Management Protocol (CWMP)
  • 5555:Freeciv versions up to 2.0, Hewlett-Packard Data Protector, McAfee EndPoint Encryption Database Server, SAP, Default for Microsoft Dynamics CRM 4.0
  • 5358:WSDAPI Applications to Use a Secure Channel

です。

保守に使うサービスのポートなので、ようするに、「セキュリティは向上するけど、保守行為はできなくなります」って感じですかね。

さすがに「善意の・・」と言われているだけあって、Hajime には分散サービス拒否(DDoS)とかの攻撃コードを持っていません。

かわりに、コントローラからのメッセージを、およそ 10 分ごとにターミナル上に表示しますけど、まあ、その程度です。

機能面でみても、Hajimeは後発だけあって、Miraiより優れています。

Mirai では、コマンド & コントロール(C&C)サーバーが必要ですが、Hajime はピアツーピアのネットワーク上に構築されていて解体が難しくなってます。

また、Hajime は、Mirai よりステルス性も機能も向上しています。

Hajime の作成者が感染したマシン上で、いつでもシェルスクリプトを開くことができたり、コードがモジュール式されていて、実行中でも新しい機能を追加できたり。

相当に高度な設計がされているみたいです。

だから、最終的にはHajimeが勝つ可能性が高いとは思います。

それで、正義が勝った・・万歳!で終われるか?

いやいや。

違いますよね。

いつでも新しい機能を追加できるということは、Hajimeの作者の気が変わって、攻撃的機能を追加したら、新しく強力な新たな「悪玉」がでてくるだけですから。

やっぱり、ここにはIOT機器を提供するメーカーとかが、プレイヤーとしてでてこないとダメです。

それでIOTの脆弱性(穴)をふさぐという根本的対策をとらないと・・。

テロリストが治安維持機能を果たしている紛争地域みたいな状況は回避できません。

 

IOTの世界では善玉ワームに頼るしかないのかという議論

 

同じような話が、ちょっとした話題になっています。

2018年8月に開催された「DEF CON 26」で、マット・ウィクシー氏(英PwC サイバーセキュリティ実践部門)が行ったプレゼンテーションの内容です。

www.itmedia.co.jp

引用します。

ウィクシー氏は、研究の一環として、既にワームに感染しているネットワークカメラなどのIoT機器からバックドアを消去し、感染の原因となる脆弱な機能を無効化するNematodeを作成。

プレゼンテーションの中でそのデモンストレーションを行いました。

さらに発展系として、過去に登場した「Polypedo」ワームを参考に、機器中のフォルダに保存されている画像をスキャンして、いくつかのアルゴリズムを用いて著作権や人権侵害につながる画像が保存されていたら検出し、警告するプログラムも作成したといいます。

同氏はこのような研究を進めつつ、「Antidote」という、脆弱性を検証できる「Metasploit」のようなアンチワームフレームワークの開発を進めていることも明らかにしました。

いやあ。

これは悩ましいですね。

たしかに、IOT機器についてはPCやサーバーの様に管理できません。

数も多いし、セキュリティの脆弱性を緩和する手段・方法も少ない。

ウィクシー氏が言うように「正義のワーム」を開発して、それを使って「悪のワーム」が作ったセキュリティ上の穴をつぶさせるという手段しかないように思えます。

まあ。

実際のところ、PCのGoogle検索だってBotが休みなく動いているからこそ実現できているわけですし、それと同じような「正義のワーム」が影で動いて平和なIOT機器の利用を実現するという考え方は納得感があります。

個人的にも、そうでもしないと現実的に難しいかもしれないと思ってましたし。

だって。

ちゃんとID・パスワード管理しなさいなんて言われてますけど、人間に完璧を求めても無理ですし、過去にちゃんとしてない機器を修正するのも難しい。

設定しても再起動すると初期化されて元の木阿弥なんて機器もいっぱいありますし。

だから、現実的には人の手でなんとか・・は無理ですもの。

ただ。

あとは、その「正義のワーム」をどんな人間が開発・管理するかです。

一歩間違うと「正義のワーム」が、より強力な「悪のワーム」に姿を変えるリスクがありますから。

個人的には。

インターポールみたいな世界的なサイバー警察組織のようなものを作って、世界中のサイバー犯罪を超国家的にとりしまるようにして、その一環として、こういう「正義のワーム」も管理されるようになればなあ・・・と思うわけです。

でないと。

一部の民間人が作って管理しているという話だと不安です。

だって。

悪の組織で改造された仮面ライダーは「正義の心」を自分で持っているから、「正義の味方」であり続けてくれるけど、「正義のワーム」に心はないですから。

いつ、開発者が心代わりするかわからないし、悪人に奪われてしまうかもしれない。

そう考えると、やっぱり、怖いですもの。