シマンテックは9月26日、サイバー犯罪者がIoT機器のセキュリティの不十分さを悪用し、マルウェア配布、ゾンビ ネットワーク作成、ボットネット構築などを機器所有者に知られることなく行っていることを示した新しい調査結果を発表した。

シマンテックのSecurity Responseチームによると、サイバー犯罪者が大企業を中心とした収益性の高い標的へのDDoS攻撃実行時に、家庭内ネットワークやインターネットに接続されている消費者向けデバイスを乗っ取って使用しているという。サイバー犯罪者は、安価な帯域が必要なため、高度なセキュリティを持たず感染しやすい消費者向けデバイスを多数まとめることにより、攻撃を実現していると考えられる。

　標的となるのは、ホームネットワーク、Webサーバ、ルーター、モデム、NAS機器、CCTVシステムおよび産業用制御システムなど、PC以外の組み込み機器。攻撃者はIoTのセキュリティが不十分であることを認識しており、一般に使用されているデフォルトのパスワードをマルウェアにあらかじめ組み込むことによってIoT機器を容易に乗っ取っているという。また、大半の被害者が感染に気付いていないと考えられるという。

将来的にはインターネットに接続される埋め込み機器の数が拡大し、これに連動する形で複数のIoTプラットフォームから同時に行われる攻撃が多くなると予想される。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース