[レポート]サイバーデブリをどう片づけるか? ~感染/脆弱IoT機器の発見、観測、分析、通知活動の今~ – CODE BLUE 2020 #codeblue_jp

CODE BLUE 2020で行われた「サイバーデブリをどう片づけるか? ~感染/脆弱IoT機器の発見、観測、分析、通知活動の今~」というセッションのレポートです。
2020.10.30

こんにちは、臼田です。

今回はCODE BLUE 2020で行われた以下のセッションのレポートです。

サイバーデブリをどう片づけるか? ~感染/脆弱IoT機器の発見、観測、分析、通知活動の今~

マルウェア感染や他のサイバー攻撃への悪用が懸念されるIoT機器が蔓延している。これらの機器は管理者が明確でなく、ネットワークに接続されている限り、継続的に攻撃を受け、悪用される恐れがあり、サイバーデブリ化している。本講演では、これらの機器の発見、観測、分析、通知による活動について紹介する。

Presented by : 吉岡 克成 - Katsunari Yoshioka

レポート

  • IoT機器の乗っ取りがたくさん発生している
    • DDoSなどにも利用されている
  • リモート監視などもセキュリティが十分ではないものもある
  • IoT自体がぐちゃぐちゃとも言える
  • これらを観測する仕組みを作っている
    • Passive monigoring
    • Active monigotring
  • マルウェアを見つけて駆除する話
    • Passive monigoringしている
    • すでに感染したIoT機器がたくさんある
    • あちこちに攻撃しだす
    • Passiveでも様々なものを観測できる
    • ハニーポット
    • うまくいくとマルウェアを捕まえられる

(この辺から少し手薄)

  • いろんなカテゴリーのデバイスがある
  • Miraiが2016年にパンデミックになった
  • IoT DDoSが多な割れている
    • 100Gbps超えのものも観測されている
  • Miraiは23/tcpへのリクエストが多い
  • Mirai通知の実験

(手薄ここまで)

  • 通知をすると効果があるか
    • 効果はあった
    • Improved: わかりやすく通知すると感染ユーザが減っている
    • e-mailで通知をしてもなにもしないのと変わらない
  • 最近はISPが通知するのも難しい
    • ユーザーも見ない
  • 別の方法をやっている
    • アプリを入れて貰う必要があるがアプリを入れてもらうとそれ経由で通知する
    • 感染前でもTelnetが空いていることを検知したら通知できるようにする
  • アプリはWarpDrive Projectとして配布している
    • 攻殻機動隊とコラボしている
    • 残念ながら英語化されていない
  • 攻撃の観測だけでなくそれをユーザーに伝えて駆除していくことを取り組んでいる
    • 350ぐらいの学術論文で参照されている
    • 100以上の組織に検体を提供している
  • セキュアではない機器を見つける
    • Passiveだと見れないのでActiveでみる
    • IoTのWebUIに着目して分析
    • 収集した管理画面の情報をクラスタリング
    • 日本のASの中でやると顕著にわかる
    • ノイズは一部除く必要がある
      • エラーページやブランクページ、デフォルトページ
    • ノイズを取っていっていい感じに見えるように
    • サンプリングして色付けする
    • 管理画面が見えているのはカメラが40%ぐらい
    • カメラの中には認証画面が見えるのと、映像がすぐ見えるのがある
  • 映像が見えるものについて調査
    • ハニーポットのカメラを設置してみた
      • アクセス見るだけだと面白くないのでID:Passをカメラに映した
      • リビングっぽいカメラも設置
    • すぐにアクセスがたくさんあった
    • insecamに補足された
      • これで2万アクセスぐらいになった
    • カメラを自分で探す技術があるのは限られているが多くはinsecamなどから流入
    • 写り込んだidなどはアクセスあった
    • リビングのカメラはアクセスパターンが違った
      • 同じ人がしつこく見に来たりした
      • カメラのアングルを変更する行為も見られた
    • カメラが見つかる理由
      • メーカーのどこを見ればいいかが判明しているので機械的にクロールされている
  • カメラ以外にも気になるものが見つかっている
    • リモートモニタリング
    • ICS
    • 水処理の自治体が運用しているもの
      • アクセス制御がないまま運用されていた
    • 水門
      • 状況が見れるように
    • 風力発電
    • 変電所
    • いろんな実例がある
    • 重要システムのハニーポットも作ってみた
      • どういうアクセスが有るか調べてみた
      • クリティカルな操作もできるようにしてみた
      • アクセスがあった
      • 1日数件程度で多くはない
      • 慎重にアクセスして情報をじっくりみていく人がいる
      • アグレッシブなオペレーションをする人もいた
      • そういったアクセスはTorからもある
      • 確信犯的にやっていると考えられる
  • もう少し細かい侵入のパターンもあったが割愛
  • 総務省も探索して通知したり調査している
    • 2017年に大規模に行った
    • 現場に行って調査したり
    • 2020年(今)も行っている
  • まとめ
    • インターネットにものを繋ぐことのリスクがまだ認知されていない
    • Active/Passiveの調査で見つけることができる
    • 政府やISPなどと連携して対応していっている

感想

リアルな研究だなーと感じました。IoT機器は爆発的に増えていますが、課題がいっぱいあるので気をつけたいですね。

今後の研究の成果にも注目です。