1000件超の重要IoT機器情報が野放し／SNS悪用も加速……横国大 吉岡教授が語る最新サイバー脅威

毎月のスパンでゼロデイ攻撃を観測、攻撃のビジネス化も進む

　INSITEの取り組みは、大きく「攻撃観測網（ハニーポット）」「OSINT（オープンソース・インテリジェンス）」「HUMINT（ヒューマン・インテリジェンス）」の3つの柱で構成されている。内容について詳しく見ていこう。

攻撃観測網（ハニーポット）

　まず、長年の実績を持つのが、おとりのシステムを用いて攻撃を誘引・観測する「ハニーポット」だ。特に、IoT機器をターゲットとした攻撃は2015年頃から急増しており、吉岡氏らは世界22ヵ国に「IoTPOT/XPOT」を設置。検体数は4200万件、ユニーク数39.8万件に達する膨大なデータを蓄積している。

　また、「Amppot」と呼ばれるシステムでは、サービス妨害攻撃（DoS攻撃）を観測する。国内のISP連合体であるICT-ISACや、国際的なShadowserver foundationと連携し、攻撃検知時にアラートを出す、いわば地震速報のサイバー攻撃版のような仕組みを130ヵ国以上の公的機関や6,000以上のネットワークオペレーターに提供している。

　「上記のようなハニーポット群により、ほぼ毎月のスパンで未知の攻撃を観測している」と吉岡氏。その中で特に注意したいものが、下図にて赤（ゼロデイ）と黄色（不明）で表示されている攻撃だ。ハニーポットを狙う攻撃は、すなわち侵入を目的とした攻撃である。その中で、世の中にまだ浸透していないゼロデイ攻撃、およびゼロデイ攻撃になりうるものが毎月観測されている状況だという。

　また、ハニーポットで攻撃を感知すれば不正なプログラムを収集できるが、そこから攻撃インフラの情報も収集できる。たとえば、「Telegramを経由して、『攻撃の対価としてビットコインを払え』と指示している」といった、攻撃をビジネス化している様子が観測されているとのことだ。

OSINT（オープンソース・インテリジェンス）

　吉岡氏が近年特に注力しているのが、インターネット上の公開情報を活用するOSINTだ。同氏は、本来外部に見えるべきではない重要インフラの管理画面などが、認証なしでアクセス可能な状態で放置されている現状を危惧している。

　「調査の結果、ダムや変電所、発電所（風力・太陽光）、さらには鉄道の運行システムや水処理プラントなど、1,000件以上の重要機器候補が外部から操作可能な状態で露出していたことが判明しています」（吉岡氏）

　そのほか、SNSやダークウェブの監視も重点施策のうちの1つだ。まず、SNSに関しては50台ほどの観測用の携帯電話を用いて、TelegramやDiscordを中心に監視しているという。特に最近多く見受けられるのは、企業へのアクセス手段を売買するブローカーの投稿である。近年はランサムウェアの攻撃も活発だが、その侵入口がSNSやダークネットフォーラムなどで売買されているケースも多い。また、既に漏えいした個人情報などのデータを販売している様子も頻繁に観測できるとのことだ。

HUMINT（ヒューマン・インテリジェンス）

　OSINTから一歩進み、攻撃者と対話しながら情報を得る活動も行っている。たとえば、過去にとある攻撃者グループがTelegram上で日本の銀行の漏えいデータを販売しようとしている投稿があった。詳細を探るべくそのグループと対話をすると、サンプル名や銀行名、いつ入手したデータか、どんな内容のデータかなどが明らかになってくる。