PR

 観測用ネットワークである「ダークネット」での調査などから、インターネットにはTELNETで感染を広げるIoTウイルスが多数存在することがわかった。そこで筆者らは、「IoTウイルスはどのようにして感染を広げるのか」「感染後、IoTウイルスはどのように振る舞うのか」を調べるために、TELNETが稼働するIoT機器のふりをする「ハニーポット」をインターネットに設置した(図6)。

図6●「ハニーポット」でIoTウイルスの挙動を探る
図6●「ハニーポット」でIoTウイルスの挙動を探る
「ハニーポット」(おとりマシン)の概要。ハニーポットはTCP 23番でTELNETによるアクセスを待ち受けるIoT機器のふりをして、IoTウイルスの挙動を記録する。アクセスがあると、特定のIoT機器に見せかけた情報(バナー)を返し、認証情報を送信させる。ログインさせた後は、相手が送信するコマンドに応じた偽の応答を返す。
[画像のクリックで拡大表示]

 ハニーポットは、TCP 23番ポートで外部からのアクセスを待ち受ける。そして、アクセスがあると、特定の機器に見せかけたバナーやログインプロンプトを返す。IoT機器によって、返すバナーや特定のコマンドに対する応答が異なる。ハニーポットには、これらの情報のデータベースがあり、アクセスごとに、特定の機器に見せかけることが可能だ。

 バナーを返すと、IoTウイルスはユーザーIDとパスワードを送信して不正ログインを試みる。ログインへの対応は2種類用意した。一つはどのようなユーザーID/パスワードでもログインを許さない対応で、もう一つはすぐにログインさせる対応だ。

 前者の目的は、ウイルスが送信するID/パスワードの収集である。通常、ウイルスはログインできるまでID/パスワードを変えながら繰り返し送信する。ログインさせないことで、ウイルスが試行するID/パスワードをすべて収集しようと考えた。

 一方、すぐにログインさせるのは、ログインした後のウイルスの挙動を見るためだ。ログインに成功すると、ウイルスはどういったコマンドを送信するのか、どういった挙動を示すのかを調べた。

▼ハニーポット
脆弱性があると外部から見えるように設定したおとりのコンピュータのこと。攻撃者やウイルスの挙動を調べ、対策に役立てるために使用する。