Infostand海外ITトピックス

IoTデバイスからのDDoS攻撃が拡散か マルウェア「Mirai」

誰がセキュリティの責任をとる?

 IoTのセキュリティには、ずっと懸念が出てきた。だが、「近い将来に現実的な防御対策が出てくるとは思えない」とIndependent Security Evaluatorsのエグゼクティブパートナー、Ted Harrington氏は、Mercury Newsに述べている。IoTデバイスは普及し始めているが、消費者のセキュリティへの警戒意識は低いままなのだという。

 IoTデバイスでも、セキュリティ対策としてはパスワードの設定と頻繁な変更などが推奨されてきた。しかし、実際にはユーザーがIoTデバイスをパスワードなしで利用していたり、デフォルトのままで使っている例が非常に多い、とMercury Newsは指摘する。「消費者は安全なデバイスを購入して強いパスワードを設定しなければならないが、デバイスのメーカーにも、製品が設計時から安全であることを確実にする標準が必要だ」と別のセキュリティ専門家は訴える。

 同紙はほかに「ラッキーなことに、テックガジェットの製品寿命は短い。新しいデバイスにすぐにアップデートする」と少々楽観的すぎるのではないかと思われる意見も紹介している。

 一方、FortuneはIoTシステムのセキュリティの「責任は誰にあるのか?」という視点でレポート。こうした攻撃は予見できるものであることから、メーカーがその責任を問われる可能性があると指摘している。

 Fortuneが取材した元サイバー犯罪担当検事の弁護士によると、今回の攻撃では、FTC(連邦取引委員会)と州検事総長が既に調査を開始しており、デバイスメーカーを訴える構えだという。「危険な製品を販売し、誤解させるようなマーケティングを展開した」ことが対象になる、とこの弁護士は述べているという。

 さらにFortuneは、コンシューマーがメーカーに対して集団訴訟を起こす可能性にも言及している。

 Krebs on SecurityがMiraiの攻撃を受けたのは9月20日。ソースコードが公開されたのは9月下旬と言われている。日本でも警視庁が10月20日、「10月1日にMiraiのソースコードが投稿され、当該ボットのものと考えられるソースコードが複数のサイトに転載」「Miraiボットに感染したIoT機器が発信元と考えられるアクセスが増加」と警鐘を鳴らしていた。

 ソースコード公開から1カ月もたたないうちに、Miraiを利用したボットネットが構築され、史上最大級の攻撃が実行された。こんなことが簡単にできてしまう未来では、悪夢のようではないか――。