BBソフトサービスとクルウィットは、IoT機器やサイバー攻撃の実態を可視化するため、ダークネット観測リポート(2020年4月~6月分)を8月25日に発行した。
クルウィットは、組織内外のダークネットを活用してIoT機器やPCを監視する「SiteVisor」を提供しており、誰も利用していないIPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛に「どのような攻撃を想定した通信があったか」を調査している。
ダークネット観測リポートは、「SiteVisor」で観測したデータを基に、IoT機器などへのサイバー攻撃の傾向をまとめたものである。
IoT機器を攻撃する専用のウイルスがあり、代表的なマルウエアに「Mirai」といわれるものがある。スマートスピーカーなどのIoT機器を踏み台にして、企業のサーバーなどを攻撃する。たとえIoT機器がマルウエアに感染したとしても、利用者に実被害がでる可能性は低いが、犯罪者に利用され犯罪の片棒を担ぐことになるという。
クルウィットが定点観測しているダークネット観測によると、この四半期におけるダークネット宛のパケット数については、下図の観測結果となった。
特に2020年5月の観測パケット数が多い要因としては、送信元が詐称されたSYN-ACKパケット(バックスキャッタ)の増加によるものだという。なぜこのようなパケットが多く観測されたのかは不明だが、主に企業のサービスサイトを攻撃するために利用されている手法の一つであるため、今後注意が必要だとしている。
当該期間における宛先ポート番号については、23/TCP(telnet)を狙ったパケットを多く観測した。また、22/TCP(ssh)、80/TCP(http)、52869/TCP(Unassigned)についても同様にパケットを観測しており、これらは、IoT機器(ルーター等)を狙ったパケットだという。傾向として機器の遠隔操作ができるところが狙われているとしている。
また、ダークネット宛にどの国からアクセスがあったかを調べたものが以下となる。
テレワーク推進に伴い家で仕事をする機会が増え、会社と比較してセキュリティ対策がなされていない家庭が狙われる可能性が高く注意が必要である。一般的な家庭用のルーターでは、正しく設定をしていても、セキュリティは万全ではないという。
5年以上前のルーターは買い替える、仕事用のパソコンは家庭で利用している他の機器と直接通信が出来ないようにネットワークを分けるなどの対策をとることが望ましいとしている。
