IoT ハニーポット実験:脅威アクターが特定のデバイスを狙う理由は?

Honeypot experiment reveals what hackers want from IoT devices

2021/12/22 BleepingComputer — さまざまな場所に設置された、さまざまなタイプの low-interaction IoT デバイスをシミュレートする3年間のハニーポット実験により、脅威アクターが特定のデバイスを狙う理由が明確になった。より具体的に言うと、このハニーポットは、十分に多様なエコシステムを作り出し、生成されたデータにより敵対者の目標を決定するために、クラスター化することを目的とした。

IoT (Internet of Things) デバイスとは、カメラ/ライト/ドアベル/スマートテレビ/モーションセンサー/スピーカー/サーモスタットなどの、インターネットに接続された小型デバイスにより活況を呈している市場である。2025年までには、これらのデバイスのうちの 400億台以上がインターネットに接続され、ネットワークへの侵入や、不正な暗号採掘、DDoS 群の一部として利用されることになると推定されている。

ステージ設定

NIST とフロリダ大学の研究者たちが構築したハニーポットのエコシステムは、サーバーファームおよび、審査システム、データ収集/分析インフラの、3つの要素で構成されている。また、多様なエコシステムを構築するために、既製の IoT ハニーポット・エミュレータである Cowrie/Dionaea/KFSensor/HoneyCamera をインストールしている。

研究者たちは、インターネットに接続されたサービスを検索するために、2つの専門的な検索エンジンである Censys と Shodan の上で、これらのインスタンスが実際のデバイスとして表示されるように設定した。

ハニーポットの種類は、主に以下の3つとなる。

  • HoneyShell – Busybox をエミュレートしたもの
  • HoneyWindowsBox – Windows が動作する IoT デバイスをエミュレートする
  • HoneyCamera – Hikvision や D-Link などの IP カメラをエミュレートしたもの

この実験における斬新な要素は、攻撃者のトラフィックや攻撃方法に対応して、ハニーポットを調整したことだ。研究者は、収集したデータを用いて IoT の構成と防御を変更し、その変更に対する脅威アクターの反応を反映した、新しいデータを収集した。

調査結果

この実験では、2,260万回という膨大な数のヒットデータが得られ、その大半がHoneyShell ハニーポットを標的としていた。様々な脅威アクターが、似たような攻撃パターンを示したのは、彼らの目的と達成するための手段が共通していたからだと思われる。たとえば、多くの攻撃者は、masscan などのコマンドを実行して、開いているポートをスキャンしていた。また、/etc/init.d/iptables stop などのコマンドを実行して、ファイアウォールを無効化していた。

さらに、数多くの脅威アクターたちは、free -m や、lspci grep VGA、cat /proc/cpuinfo を実行していたが、これらの3つのコマンドはいずれも、ターゲット・デバイスのハードウェア情報を収集することを目的としている。

興味深いことに、admin/1234 という ID/PW の組み合わせを試すものが 100万件近くもあり、この種の認証情報が IoT デバイスで多用されていることが示唆された。ハニーポットの最終目的として、研究者たちがたどり着いた結論は、HoneyShell と HoneyCamera は主に DDoS のターゲットにされ、Mirai の亜種やコインマイナーに感染していることが多いことが判明した。Windows のハニーポットでは、コインマイナーの感染が最も多く観測され、次いでウイルス/ドロッパー/トロイの木馬が観測された。

HoneyCamera のケースでは、研究者たちが意図的に脆弱性を埋め込み、認証情報を公開したところ、29人の脅威アクターが、その欠陥をマニュアルで悪用したことが分かった。研究論文は、「ハニーポット内で、少なくとも1回のコマンド実行に成功したセッションは、13% に過ぎない。次のステップを実行した攻撃はごく一部であり、残りの 87% は、正しい ID/PW の組み合わせを見つけようとしただけだった」と説明している。

デバイスを保護する方法

ハッカーによる IoT デバイスの乗っ取りを防ぐには、以下の基本的な対策を行うべきだ。

  • デフォルトのアカウントを、ユニークで強い (長い) PW に変更する
  • IoT デバイス用の別ネットワークを設定し、重要な資産から隔離する
  • 利用可能なファームウェアなどのアップデートを可能な限り早期に適用する
  • IoT デバイスを積極的に監視し、悪用の兆候を探す

    最も重要なことは、インターネットに接続する必要のないデバイスは、ファイアウォールや VPN の内側に設置し、不正なリモート・アクセスを防止することだ。

​とても興味深い内容の記事であり、調査レポート「What are Attackers after on IoT Devices?」もダウンロードが可能となっています。Log4Shell の影響は、IoT や OT にも及ぶようで、12月15日には「Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで」が、12月19日には「OT 環境での Log4Shell リスク:防御のための最適な手段を探る」という記事がポストされています。よろしければ、ご参照ください。