ハッカーがIoTデバイスに求めているものがハニーポット実験で明らかに

news

さまざまな種類の脆弱なIoTデバイスをシミュレートした3年間のハニーポット実験により、アクターが特定のデバイスを狙う理由が明確になったことが発表されました。

https://arxiv.org/pdf/2112.10974.pdf

この研究で得られた情報を分析すると、敵は脆弱なIoTデバイスを積極的に探していることがわかりした。
多面的かつ多段階的なアプローチは、一度だけのハニーポットと比較して、ますます洗練された攻撃者の活動を捉えることができることを示しています。

さらに、HoneyCameraのログを分析したところ、IoTカメラデバイスが攻撃の興味深いターゲットになっていることがわかりました。

ハニーポットで取得された大量のコマンドを理解するためのクラスタリングアプローチとハニーポットで取得された大量のコマンドを理解するためのクラスタリング手法と、コマンドのクラスタを用いて攻撃者の意図と操作のモードを推測するグルーピングアルゴリズムを紹介しました。

より具体的には、このハニーポットは十分に多様なエコシステムを作り出し、生成されたデータを敵対者の目標を決定するような形でクラスタリングすることを目的としていた。

IoT(Internet of Things)デバイスは、カメラ、照明、ドアベル、スマートテレビ、モーションセンサー、スピーカー、サーモスタットなど、インターネットに接続された小型のデバイスなどを含む拡大している市場です。

2025年までには、これらのデバイスのうち400億台以上がインターネットに接続され、ネットワークへの侵入口や資源を提供し、不正な暗号採掘やDDoS攻撃の一部として利用されることが予想されます。

ハニーポットの設定

NISTとフロリダ大学の研究者が構築したハニーポットのエコシステムは、サーバーファーム、審査システム、データ収集・分析インフラの3つの要素で構成されています。

また、多様なエコシステムを構築するために既製のIoTハニーポットエミュレータであるCowrie、Dionaea、KFSensor、HoneyCameraをインストール。

インターネットに接続されたサービスを検索する2つの専門的な検索エンジンであるCensysとShodan上で、これらのインスタンスが実際のデバイスとして表示されるように設定しました。

ハニーポットの種類は主に以下の3つでした。

  • HoneyShell – Busyboxをエミュレート
  • HoneyWindowsBox – Windowsが動作するIoTデバイスをエミュレート
  • HoneyCamera – HikvisionやD-Linkなどの様々なIPカメラをエミュレート

この実験の斬新な項目は、攻撃者のトラフィックや攻撃方法に対応してハニーポットを調整していることです。

収集したデータを使ってIoTの構成と防御を変更し、その変更に対する攻撃者の反応を反映した新しいデータを収集しました。

調査結果

この実験では、2,260万件という膨大な数のデータが得られ、その大部分がHoneyShellハニーポットを標的としたものでした。

様々な攻撃者が似たような攻撃パターンを示したのは、目的とそれを達成するための手段が共通していたからだと考えられます。

例えば、多くの攻撃者は開いているポートをスキャンするために「masscan」、ファイアウォールを無効にするために「/etc/init.d/iptables stop」などのコマンドを実行しています。

さらに、「free -m」、「lspci grep VGA」、「cat /proc/cpuinfo」を実行しますが、これら3つのコマンドはいずれもターゲットデバイスのハードウェア情報を収集することを目的としています。

興味深いことに「admin / 1234」というユーザー名とパスワードの組み合わせを試すものが100万件近くあり、IoTデバイスでこの認証情報が多用されていることを反映しています。

ハニーポットの最終目的については、「HoneyShell」と「HoneyCamera」は主にDDoS攻撃の誘導を目的としており、Miraiの亜種やコインマイナーに感染していることが多いことがわかりました。

Windowsのハニーポットでは、コインマイナーへの感染が最も多く観測され、次いでウイルス、ドロッパー、トロイの木馬が観測されました。

HoneyCameraの場合、意図的に認証情報を公開する脆弱性を作り、29人の攻撃者が手動でその脆弱性を利用していることに気づきました。

ハニーポット内で少なくとも1回のコマンド実行に成功した一意なセッションは、314 112(13%)しか検出されなかった

この結果は、次のステップを実行した攻撃はごく一部で、残りの87%は正しいユーザー名とパスワードの組み合わせを見つけようとしただけであることを示しています

デバイスを保護する方法

ハッカーによるIoTデバイスの乗っ取りを防ぐには、以下の基本的な対策を行ってください。

  • デフォルトのアカウントをユニークで強い(長い)ものに変更する。
  • IoTデバイス用に別のネットワークを設定し、重要な資産から隔離しておく。
  • 利用可能なファームウェアやその他のセキュリティアップデートがあれば、できるだけ早く適用する。
  • IoTデバイスを積極的に監視し、悪用の兆候を検知する

最も重要なことは、インターネットに接続する必要のないデバイスはファイアウォールやVPNの内側に設置し、不正なリモートアクセスを防止することです。

Comments

タイトルとURLをコピーしました