本記事は学習用です。作成には ChatGPT と GitHub Copilot を使用しています。
1. 導入:IoT機器を狙うマルウェアとは何か
- IoT(Internet of Things):センサーや家電、カメラ、ルータ、産業機器など、ネットワークに常時接続される機器の総称
- マルウェア(malware):malicious software(悪意あるソフトウェア)の略で、ウイルス、ワーム、ランサムウェア、ボットなどの総称(キーエンス)
IoT機器を対象とするマルウェアは、これらの IoT デバイスに侵入して乗っ取り、以下のような目的で悪用します。
- DDoS攻撃(分散サービス妨害攻撃)の踏み台
- クリプトマイニング(仮想通貨マイニング)
- 不正プロキシ・中継サーバとしての利用
- スパイ行為・盗聴・情報窃取
- 組織ネットワーク内部への侵入足掛かり
IoT機器は「常時稼働・無人運用・パッチ未適用・初期パスワードのまま」が多く、PCに比べてセキュリティ対策が遅れがちです。そのため、IoT特化のマルウェアやボットネットは近年の重要な脅威として各国のセキュリティ機関やベンダが継続的に注意喚起しています。(ipa.go.jp)
2. 背景:IoTマルウェアが深刻化する理由
2.1 IoT機器の爆発的な増加
- 家庭用:ネットワークカメラ、スマートスピーカー、スマート家電、家庭用ルータなど
- 企業・工場:IPカメラ、IoTゲートウェイ、ビル管理システム、産業制御装置(IIoT)など
これらの多くがインターネットに常時接続され、グローバルIPを持つか、UPnPやポートフォワーディング経由で外部からアクセス可能になっています。攻撃者から見ると「スキャンして見つけるだけで大量の踏み台が手に入る環境」です。
2.2 セキュリティ設計の弱さ
多くのIoT機器は、以下のような問題を抱えたまま市場に出荷されます。
- 工場出荷時の デフォルトID/パスワード がそのまま
- OS/ミドルウェアの古いバージョンを搭載(古い Linux カーネルや BusyBox 等)
- 自動アップデート機能がない、またはユーザがアップデート方法を知らない
- Web管理画面やTelnet/SSHがインターネット側に露出
- ログ・監視が貧弱で、乗っ取られても気付きにくい
日本のIPA(情報処理推進機構)も、IoT機器を含むボットネットによるDDoS攻撃や不正アクセスを「情報セキュリティ10大脅威」で繰り返し取り上げています。(ipa.go.jp)
2.3 IoTボットネットのビジネス化
代表的な IoT マルウェア「Mirai」のソースコードが2016年に公開されて以降、亜種や派生ファミリが爆発的に増加しました。(ウィキペディア)
- 攻撃者は公開コードを基に機能を追加・変更するだけで新しいボットネットを構築可能
- DDoS-as-a-Service(攻撃代行サービス)やレンタルボットネットという形で犯罪市場が成立
- 近年では、DDoSだけでなくクリプトマイニングや情報窃取など多目的なボットネットへと進化(Barracuda Blog)
結果として、「デフォルトのままのIoT機器をインターネットに晒すだけで、数分〜数時間でマルウェアに感染する」状況が珍しくありません。
3. 代表的なIoTマルウェア事例
3.1 Mirai:IoTボットネットの象徴
Mirai は、2016年に大規模DDoS攻撃を引き起こしたことで広く知られる IoT 向けマルウェアです。(ウィキペディア)
主な特徴:
- 感染対象:LinuxベースのIoT機器(ネットワークカメラ、家庭用ルータなど)(techfactory.itmedia.co.jp)
- 侵入手口:
- インターネット全体をスキャンし、Telnet(TCP 23/2323)に応答する機器を探索
- よく使われるデフォルトID/パスワードの組み合わせリストで総当たりログイン
- 感染後の挙動:
- C&Cサーバ(Command & Control)に接続し、攻撃命令を待機
- 競合マルウェアの駆除、管理ポートの塞ぎ込み(自分専用の踏み台にする)
- DDoS攻撃命令に従い、標的へ大量パケット送信
Mirai によるボットネットは、DNSプロバイダ Dyn へのDDoS攻撃で、GitHub、Twitter、Netflixなど大手サービスが一時的にアクセス不能になるなど、インターネット全体に大きな影響を与えました。(ウィキペディア)
3.2 Mirai亜種・後継ファミリ
Miraiソースコード公開後、多数の亜種や後継マルウェアが登場しました。
例:
- Mirai亜種(Satori, Okiru など)
- クリプトマイニング機能を追加した派生型
- 新しい脆弱性(RCE、Web管理インターフェースのバグなど)を悪用する改変版(Barracuda Blog)
これらは概ね以下の流れを踏襲します。
- インターネットスキャン
- 脆弱な機器(デフォルト認証情報/既知の脆弱性)に対する侵入
- ペイロード展開とC&Cへの登録
- 再感染・横展開のためのスキャン継続
3.3 新しいIoTボットネット:Ballista など
最近の調査では、特定ベンダーのルータに存在する RCE(Remote Code Execution)脆弱性を悪用する新しいIoTボットネットも報告されています。例えば、TP-Link Archerルータの脆弱性(CVE-2023-1389)を悪用して自動的に自己拡散する「Ballista」キャンペーンが2025年に観測されています。(Cato Networks)
ポイント:
- 脆弱性を突いて侵入するため、ID/パスワードを変更していても防げないケースがある
- ルータが直接インターネットに面しているため、一度脆弱性が見つかると世界規模で一斉感染しやすい
3.4 IoTデバイスを使うスパイ活動:LapDogs
IoTマルウェアはDDoSだけでなく、サイバー諜報(スパイ活動) にも利用されています。
最近の「LapDogs」キャンペーンでは、SOHO向けルータやIoT機器を乗っ取り、中継用の「ORBs(Operational Relay Boxes)」として活用し、米国・日本などの組織に対する長期的な監視基盤として使ったと報告されています。(TechRadar)
ここから分かるのは、
- 家庭用・小規模オフィス向けの機器でも、国家レベルの攻撃キャンペーンの一部に組み込まれ得る
- DDoSだけでなく、通信の踏み台・隠れ蓑としてIoT機器が悪用されている
という点です。
4. 感染経路と攻撃手法
IoTマルウェアの典型的なライフサイクルを、攻撃者の視点から整理します(防御のために理解することが目的です)。
4.1 インターネットスキャン
攻撃者はまず、全世界のIPv4アドレス空間を対象に以下のようなスキャンを行います。
- 対象ポート:
- Telnet(23/2323)
- SSH(22)
- HTTP/HTTPS(80/443/8080 など Web 管理画面)
- 特定ベンダ固有の管理ポート
- スキャン方法:
- TCP SYNスキャン
- 特定URLパスへのHTTPリクエスト(既知の脆弱性チェック)
Mirai などのIoTマルウェアは、疑似ランダムにIPアドレスを選び、高速かつ「ステートレス」にSYNパケットを投げて応答を確認することで、効率よく感染候補を探します。(ウィキペディア)
4.2 認証情報の総当たり(ブルートフォース)
次のステップでは、見つけた機器に対してログイン試行を行います。
- デフォルトID/パスワードのリスト(例:admin/admin, root/12345 など)を順番に試す
- パスワード変更をしていない機器に高確率で侵入成功
- Telnet/SSHだけでなく、Webログインフォームに対する総当たりも存在
IPAは、IoT機器を使う前に必ず初期パスワードを変更するよう、2016年の時点から継続的に注意喚起しています。(ipa.go.jp)
4.3 脆弱性悪用(RCE・認証回避)
認証情報が変更されている機器に対しては、以下のような脆弱性が狙われます。
- Web管理インターフェースのコマンドインジェクション
- バッファオーバフローやパストラバーサル
- 認証バイパス(ログイン無しで管理機能にアクセスできるバグ)
- ルータファームウェアのRCE脆弱性(例:CVE-2023-1389 など)(Cato Networks)
これにより、パスワードを適切に変更している機器でも、パッチ未適用であれば感染し得る ことに注意が必要です。
4.4 マルウェアの展開とボット化
侵入に成功すると、攻撃者は以下のステップで機器をボット化します。
- 一時的なシェル(/bin/sh)を取得
- wget/curl などのコマンドや、nc(netcat)などを使ってマルウェア本体をダウンロード
- 実行権限付与と起動
- 起動後に C&C サーバへ接続し、「ボット」として登録
多くのIoTマルウェアは、機器の再起動でメモリから消えることがありますが、再起動後すぐに再感染するケースも多いため、「再起動したから大丈夫」とは言えません。(ウィキペディア)
4.5 ボットネットとしての悪用
ボット化されたIoT機器は、C&Cサーバからの命令で様々な攻撃に参加します。
代表的な用途:
- TCP/UDPフラッド、HTTPフラッドなどによるDDoS攻撃(ipa.go.jp)
- クリプトマイニング(CPUが非力でも台数でカバー)
- プロキシ・VPN代わりの中継(匿名化・追跡回避)
- 内部ネットワークに対するポートスキャン・横展開
- キャンペーンによっては、特定業種・特定国を狙うスパイ活動の足場(TechRadar)
5. IoTマルウェアに対する実践的な対策
5.1 購入前・導入前に確認すべきポイント
IoT機器選定時に、以下の観点をチェックします。
- ベンダがファームウェアアップデート情報を公開しているか
- セキュリティに関するFAQ/アナウンスページがあるか
- サポート期間(いつまでアップデートが提供されるか)
- 管理画面で
- デフォルトパスワード変更を「強制」しているか
- 不要なサービス(Telnet 等)を無効化できるか
日本では、IPAの「JC-STAR」や海外のPSTI法など、IoT製品向けセキュリティラベリングの枠組みも整備されつつあります。(ipa.go.jp)
5.2 個々のIoT機器での基本設定
導入後すぐに、以下を最低限実施します。
- 初期ID・パスワードの変更
- 8〜12文字以上
- 英大小文字・数字・記号を組み合わせる
- 機器ごとに異なるパスワードを設定
- 不要なサービスの停止
- 可能であれば Telnet を無効化し、SSHのみ許可
- リモート管理機能(インターネットからの管理画面アクセス)を無効化
- UPnP の無効化を検討(自動ポート開放を防ぐ)
- ファームウェア更新
- 最新ファームウェアへの更新
- 自動アップデート機能があれば有効化
- 定期的(例:四半期ごと)に新バージョンの有無を確認
- ログと通知の設定
- 管理画面ログイン失敗回数の制限
- 不正アクセス検出時のメール通知などがあれば有効化
IPAも、ネットワークカメラや家庭用ルータを利用する前にパスワード変更とアップデートを行うよう強く推奨しています。(ipa.go.jp)
設定例(イメージ)
1. 管理画面にアクセス(例:https://192.168.1.1)
2. 「管理者パスワード変更」メニューを開く
3. ランダムな12文字以上のパスワードに変更
4. 「リモート管理」「UPnP」メニューを開き、不要なら「無効」に設定
5. 「ファームウェア更新」メニューから最新版を適用※実際の画面構成は製品によって異なります。
5.3 ネットワーク設計での防御(セグメンテーション)
IoT機器は、社内ネットワークや自宅LANの中でも、分離して配置 することが重要です。(法人のお客さま|NTT東日本)
推奨パターン:
- 家庭:
- 「PC/スマホ用SSID」と「IoT機器用SSID」を分離(ゲストネットワークを活用)
- ルータの設定で IoT セグメントから内部重要機器へのアクセスを拒否
- 企業:
- VLAN で IoT 用ネットワークを分離
- IoT セグメントからインターネットへの通信は必要なプロトコルに限定
- IoT セグメントから内部サーバへのアクセスは原則禁止
イメージ図(簡易):
[社内LAN] ---+
|--[Firewall/Router]---[インターネット]
[IoT VLAN]---+こうすることで、仮にIoT機器がボット化されても、内部情報資産への横展開を防ぎやすくなります。
5.4 トラフィック監視と異常検知
IoTマルウェアは、C&Cサーバへの定期的な通信や、大量パケット送信など特徴的なトラフィックを発生させます。(インターネットイニシアティブ-IIJ)
可能であれば、
- IDS/IPS やファイアウォールで
- 不審な外向き通信(海外の不明なIPへの常時接続)を検知
- DDoSに使われやすいプロトコル(NTP, SSDP, DNS, Memcached など)の異常な外向きトラフィックを監視
- NetFlow/sFlow でフローログを取得し、特定デバイスからの大量通信を可視化
中小規模環境でも、UTMアプライアンスやクラウド型セキュリティサービスを使うことで、ある程度の可視化・遮断が可能です。
5.5 インシデント対応の基本
「もしかしてIoT機器が感染したかも」と疑われる場合の基本的な対応フローです。
- 感染が疑われる機器をネットワークから切り離す(LANケーブル抜線・Wi-Fi切断)
- ベンダのマニュアルに従い、最新ファームウェアを適用したうえで初期化(工場出荷状態にリセット)
- 再設定時に
- 初期ID/パスワードを必ず変更
- 不要なサービス無効化
- ルータやファイアウォールのログを確認し、
- 不審な外向き通信先
- 大量通信の有無を調査
- 同じネットワーク上の他機器も点検(横展開がないか)
6. IoT機器開発者・ベンダが取るべき対策
IoT機器やエッジデバイスの開発に関わる方は、セキュアバイデザイン の観点が重要です。
6.1 設計段階での基本方針
- デフォルトで安全(Secure by Default)
- 初回起動時にパスワード変更を強制
- 不要な管理ポート・サービスは無効
- アップデート可能性の確保
- 署名付きファームウェアの安全な更新機構
- 長期にわたるセキュリティパッチ提供計画
- 最小権限の原則
- root 権限プロセスの最小化
- 不要なSUID/SGIDバイナリの排除
これらは、IPAのJC-STARや海外のIoTセキュリティガイドラインでも共通して求められている項目です。(ipa.go.jp)
6.2 実装段階の具体的なポイント
- Web管理画面
- CSRF対策、入力値バリデーション、コマンドインジェクション対策
- 認証必須ページの適切なアクセス制御
- 通信
- HTTPS/TLSによる暗号化
- C&C風の不審な通信を防ぐためのホワイトリスト型通信制御(必要なサーバだけに接続)
- ログ・監査
- 管理操作・設定変更・ログイン失敗のログ記録
- 外部SIEM等との連携も視野に
6.3 テスト・認証
- 既知脆弱性スキャナを用いた定期的な診断
- 脆弱性報奨金制度(Bug Bounty)や外部第三者によるペネトレーションテスト
- JC-STAR 等のラベリング制度や国際標準(例:ETSI EN 303 645)への準拠検討(ipa.go.jp)
7. まとめ:IoTマルウェア対策の要点
IoT機器を対象とするマルウェアは、
- デフォルト設定のまま放置された機器
- パッチ未適用の古いファームウェア
- 分離されていないネットワーク
といった「ちょっとした手抜き」を確実に突いてきます。
重要なポイントを整理すると以下の通りです。
- 攻撃の主流はボットネット化とDDoS・踏み台化
- Mirai をはじめとするIoTボットネットは、依然として大きな脅威
- 感染経路は「デフォルト認証情報」と「既知脆弱性」が中心
- ID/パスワード変更とパッチ適用で多くのリスクを減らせる
- IoTはネットワーク分離が前提
- PCやサーバと同じセグメントに置かない
- 挙動監視とインシデント対応プロセスも必要
- 不審な外向き通信や大量トラフィックを検知できる仕組みを用意
- 開発者・ベンダは設計段階からセキュリティを組み込む
- Secure by Default / Secure by Design の実践
完璧な対策は難しいものの、上記のような基本的な対策を徹底するだけでも、IoTマルウェアに感染するリスクは大きく低減できます。
今後も新しいIoTマルウェアやボットネットキャンペーンは継続して出現すると考えられます。そのため、1回きりの対策ではなく、「定期的な見直し」と「新しい脅威情報のキャッチアップ」を運用の一部として組み込むことが重要です。
A. 参考サイト
- Cloudflare「Mirai ボットネットとは?」(Cloudflare)
- Wikipedia「Mirai (malware)」(ウィキペディア)
- IPA「ネットワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を」(ipa.go.jp)
- IPA「情報セキュリティ10大脅威 2025 組織編(解説書)」(ipa.go.jp)
- NTT東日本 BizDrive「『IoTボットネット』にご注意。総務省の資料を読み解く」(法人のお客さま|NTT東日本)
- TechFactory「IoTデバイスを狙うマルウェア『Mirai』とは何か」(techfactory.itmedia.co.jp)
- IPA「IoT製品のセキュリティ確保に向けて(JC-STAR説明会資料)」(ipa.go.jp)
- TechRadar Pro「China-backed 'LapDogs' hackers hijacked hundreds of devices…」(SOHOルータ・IoT機器を中継基盤としたスパイキャンペーンの事例)(TechRadar)
コメント