IoT/OTマルウェアの現状
IoTマルウェアの急増と背景
IoT(Internet of Things:モノのインターネット)デバイスは、私たちの生活や産業のあらゆる場面に浸透しています。2024年時点で世界中に150億台以上のIoTデバイスが接続されており、この数は今後も増加し続けると予測されています。
しかし、このIoTデバイスの普及は、サイバー攻撃者にとって新たな攻撃対象の拡大を意味します。多くのIoTデバイスは、セキュリティを十分に考慮せずに設計されており、マルウェア感染のリスクが高い状態にあります。
| 年 | IoTマルウェア検出数(概算) | 主な出来事 |
|---|---|---|
| 2016年 | 約40万件 | Miraiボットネットによる大規模DDoS攻撃 |
| 2018年 | 約120万件 | VPNFilter、IoT Reaper出現 |
| 2020年 | 約300万件 | コロナ禍でリモートワーク増加、攻撃対象拡大 |
| 2022年 | 約500万件 | Mozi、BotenaGo活発化 |
| 2024年 | 約700万件超 | AIを活用した攻撃の増加 |
IoTデバイスが狙われる理由は明確です。多くのデバイスがデフォルトパスワードのまま運用されていること、ファームウェア更新が行われていないこと、そしてセキュリティ監視の対象外となっていることが挙げられます。
OT(産業制御システム)への脅威拡大
OT(Operational Technology:運用技術)は、工場の製造ライン、発電所、水処理施設、交通システムなど、物理的なプロセスを制御するシステムの総称です。
従来、OTシステムはインターネットから隔離された「エアギャップ」環境で運用されていましたが、Industry 4.0やスマートファクトリーの推進により、ITネットワークとの接続が進んでいます。このIT/OT融合により、OTシステムもサイバー攻撃の標的となっています。
- IT/OT融合によるリスク増大
- 生産効率の向上やリモート監視のためにOTシステムがITネットワークに接続されることで、ITを経由した攻撃がOTに到達する可能性が生まれました。ランサムウェアがIT環境を経由してOT環境に影響を及ぼす事例が増加しています。
- 物理的被害のリスク
- OTシステムへの攻撃は、単なるデータ損失にとどまらず、設備の破壊、環境汚染、人命への危険など、物理的な被害をもたらす可能性があります。これは従来のITセキュリティとは異なる深刻なリスクです。
- 国家レベルの攻撃
- OTシステムへの高度な攻撃は、国家が支援するサイバー部隊によって実行されることが多く、APT(標的型攻撃)の一環として位置づけられています。
主要なIoT/OTマルウェアファミリー
Miraiとその亜種
Miraiは、2016年に登場したIoTボットネットマルウェアであり、IoTセキュリティの歴史において転換点となった存在です。
2016年10月、MiraiボットネットはDNSプロバイダーのDynに対して大規模なDDoS攻撃を実行し、Twitter、Netflix、Redditなど多数の主要サービスが一時的に利用不能となりました。この攻撃は、世界中のIoTデバイス(主にIPカメラ、DVR、ルーター)約10万台が悪用されたと推定されています。
| Mirai系マルウェア | 出現時期 | 主な特徴 |
|---|---|---|
| Mirai(オリジナル) | 2016年 | Telnetブルートフォース、62種のデフォルト認証情報 |
| Satori/Okiru | 2017年 | Huaweiルーター脆弱性悪用 |
| Mozi | 2019年 | P2P構造、DHT活用、高い耐性 |
| BotenaGo | 2021年 | Go言語製、30以上の脆弱性悪用 |
| RapperBot | 2022年 | SSHブルートフォース特化 |
Miraiのソースコードが2016年に公開されたことで、多数の亜種が出現しました。これらの亜種は、新たな脆弱性の悪用、認証情報リストの拡充、検知回避技術の追加など、継続的に進化しています。
その他のIoTボットネット
- Hajime
- 2016年に出現したP2P型のIoTボットネットです。興味深いことに、Hajimeは他のボットネット(Miraiなど)からデバイスを「保護」すると主張していましたが、その真意は不明です。分散型アーキテクチャにより、テイクダウンが困難でした。
- VPNFilter
- 2018年に発見された高度なマルウェアで、50万台以上のルーターに感染しました。モジュラー構造を持ち、通信の傍受、認証情報の窃取、さらにはデバイスの破壊も可能でした。ロシアの国家支援グループによるものとされています。
- Mozi
- 2019年以降急速に拡大したP2Pボットネットで、一時期IoTマルウェアトラフィックの90%を占めたと報告されています。DHT(分散ハッシュテーブル)を使用したP2P通信により、C&Cサーバーなしで動作します。2021年に作成者が逮捕されましたが、P2P構造のため完全な停止には至っていません。
OT特化型マルウェア
OT環境を直接標的としたマルウェアは数が限られていますが、その影響は甚大です。これらは高度な技術と産業制御システムに関する深い知識を必要とするため、国家支援型攻撃として実行されることが多いです。
| マルウェア名 | 発見年 | 標的 | 影響 |
|---|---|---|---|
| Stuxnet | 2010年 | イランの核施設 | 遠心分離機の破壊 |
| Industroyer/CrashOverride | 2016年 | ウクライナ電力網 | 大規模停電 |
| Triton/Trisis | 2017年 | 石油化学施設(SIS) | 安全計装システム無効化 |
| PIPEDREAM/INCONTROLLER | 2022年 | 複数のICS/SCADA | 汎用的な産業制御システム攻撃ツールキット |
- Stuxnet(スタックスネット)
- 2010年に発見された、史上初の本格的なOT特化型マルウェアです。イランの核燃料濃縮施設のSiemens製PLCを標的とし、遠心分離機の回転速度を操作して物理的に破壊しました。4つのゼロデイ脆弱性を悪用する高度な設計から、国家レベルの関与が指摘されています。
- Industroyer/CrashOverride
- 2016年12月にウクライナの電力網に対して使用され、首都キーウの一部で約1時間の停電を引き起こしました。産業用プロトコル(IEC 60870-5-101/104、IEC 61850、OPC DA)を直接操作する能力を持ち、電力システムに特化して設計されていました。
- Triton/Trisis
- 2017年に中東の石油化学施設で発見された、安全計装システム(SIS)を標的としたマルウェアです。SISは緊急時にプロセスを安全に停止させるための最後の砦であり、これを無効化することで壊滅的な事故を引き起こす可能性がありました。
- PIPEDREAM/INCONTROLLER
- 2022年に発見された、複数のICS(産業制御システム)を標的とするモジュラー型攻撃ツールキットです。Schneider Electric、OmronのPLC、OPCサーバーを攻撃対象としており、汎用性の高さから今後の脅威拡大が懸念されています。
ランサムウェアのOTへの影響
直接OTシステムを標的としなくても、ランサムウェアがIT環境に感染することで、OT環境に連鎖的な影響を及ぼすケースが増加しています。
2021年5月のColonial Pipeline事件では、米国最大の燃料パイプライン運営会社がランサムウェア攻撃を受け、IT環境への影響を受けて予防的にOT環境も停止しました。その結果、米国東海岸で燃料不足が発生し、ガソリンスタンドに行列ができる事態となりました。
同年、食肉加工大手のJBSもランサムウェア攻撃により北米の工場を一時停止しました。これらの事例は、IT/OT融合環境におけるサプライチェーン攻撃の深刻さを示しています。
攻撃ベクトルと手法
IoTデバイスへの侵入経路
IoTデバイスへの攻撃は、その多くがセキュリティの基本的な欠陥を悪用しています。
| 侵入経路 | 割合(推定) | 対策 |
|---|---|---|
| デフォルト認証情報 | 約40% | 初期設定時のパスワード変更を必須化 |
| 既知の脆弱性 | 約30% | ファームウェア更新の定期実施 |
| Telnet/SSHブルートフォース | 約20% | 不要なサービスの無効化、強力なパスワード |
| Webインターフェース脆弱性 | 約10% | 最新バージョンへの更新、アクセス制限 |
デフォルト認証情報の問題は深刻です。Miraiボットネットは、わずか62種類のデフォルトユーザー名とパスワードの組み合わせで、数十万台のデバイスに侵入しました。「admin/admin」「root/root」「admin/password」といった単純な組み合わせが今なお多くのデバイスで使用されています。
OTシステムへの侵入経路
OTシステムへの攻撃は、IoTよりも複雑な経路を辿ることが多いです。
- IT/OTの境界侵害
- 最も一般的な経路は、まずIT環境に侵入し、そこからOT環境への接続点を探す方法です。フィッシング詐欺やVPN脆弱性を利用してIT環境に侵入し、その後OTネットワークへ横展開します。
- エンジニアリングワークステーション経由
- PLCやSCADAシステムのプログラミングに使用されるエンジニアリングワークステーション(EWS)は、IT/OT両方のネットワークに接続されていることがあり、攻撃の踏み台となります。
- リモートアクセス悪用
- 保守・監視目的で設置されたリモートアクセス経路が、適切に保護されていない場合、攻撃者に悪用されます。特にVPNの脆弱性や、暗号化されていないリモートアクセスツールが問題となります。
- USBデバイス経由
- エアギャップ環境でも、感染したUSBメモリの持ち込みにより侵入されるケースがあります。Stuxnetもこの経路で拡散しました。
- サプライチェーン攻撃
- OT機器のベンダーやサービスプロバイダーを経由した攻撃も増加しています。ソフトウェアアップデートや保守作業時にマルウェアが持ち込まれる可能性があります。
攻撃の目的
IoT/OTマルウェアの目的は多岐にわたります。
- DDoS攻撃インフラ:大量のIoTデバイスをボットネット化し、DDoS攻撃の発射台として使用
- 暗号通貨マイニング:デバイスの計算リソースを無断使用してマイニング
- スパム配信:メールスパムやフィッシング詐欺の配信インフラ
- 物理的破壊:OTシステムを操作して設備や環境に物理的ダメージを与える
- スパイ活動:産業スパイや国家間諜報活動の一環として機密情報を窃取
- 身代金要求:OT環境の停止を人質にとってランサムウェアと同様の恐喝
IoT/OT特有の課題
パッチ適用の困難さ
IoT/OT環境では、一般的なITシステムとは異なる課題がセキュリティ対策を困難にしています。
| 課題 | IoT環境 | OT環境 | 対策アプローチ |
|---|---|---|---|
| 更新の困難さ | 自動更新機能の欠如 | 計画停止が必要 | リスクベースの優先順位付け |
| 互換性問題 | 更新後の動作不安定 | 認証・検証の再取得 | テスト環境での事前検証 |
| ベンダーサポート | サポート終了デバイス多数 | 長期運用によるサポート切れ | 代替策・補償制御の実装 |
| 可用性要件 | 24/7稼働要件 | 連続運転必須 | 冗長構成、保守ウィンドウ確保 |
OT環境では、可用性(Availability)が最優先されます。製造ラインやインフラの停止は直接的な経済損失につながるため、セキュリティパッチの適用でさえ慎重に計画する必要があります。
長いライフサイクル
IoTデバイスは数年で交換されることもありますが、OT機器は10〜20年以上の運用が一般的です。
この長いライフサイクルにより、設計時にはセキュリティの概念がなかった機器が今も稼働しています。レガシープロトコル(Modbus、DNP3など)は認証や暗号化の機能を持たず、ネットワークに接続されることを想定していません。
- レガシープロトコルの問題
- 産業制御システムで使用されるプロトコルの多くは、1970〜90年代に設計されました。インターネット接続を想定しておらず、認証、暗号化、完全性検証の機能がありません。
- セキュリティ機能の欠如
- 古いPLCやRTU(Remote Terminal Unit)には、ログ機能、アクセス制御、暗号化通信などの基本的なセキュリティ機能がありません。
- 交換の困難さ
- OT機器の交換は、システム全体の再設計、長期の停止、多大なコストを伴うため、セキュリティ上の問題があっても継続使用せざるを得ないケースがあります。
可視性の欠如
多くの組織で、IoT/OT環境の可視性(Visibility)が不足しています。
- 資産管理の困難
- どのようなデバイスがネットワークに接続されているか把握できていない組織が多くあります。特にIoTデバイスは、各部門が独自に導入するケースがあり、IT部門の管理外となりがちです。
- 通信の不透明性
- OTプロトコルは一般的なネットワーク監視ツールでは解析できないことが多く、正常な通信と異常な通信を区別することが困難です。
- 異常検知の難しさ
- ベースラインとなる「正常な状態」を定義できていないため、異常を検知することができません。
防御戦略
ネットワークセグメンテーション
IoT/OTセキュリティの基本は、ネットワークセグメンテーション(分離)です。
| セグメンテーションレベル | 内容 | 適用場面 |
|---|---|---|
| IT/OT分離 | ITネットワークとOTネットワークを論理的・物理的に分離 | すべてのIT/OT環境 |
| DMZ設置 | IT/OT間にDMZを設置し、直接通信を遮断 | IT/OT連携が必要な環境 |
| Purdueモデル適用 | 階層ごとにゾーン分離 | 大規模製造業、インフラ |
| マイクロセグメンテーション | デバイス単位での細かい分離 | 重要資産保護 |
Purdueモデルは、産業制御システムのネットワークを階層構造で設計するための参照モデルです。
- Level 0-1:物理プロセス、センサー、アクチュエーター
- Level 2:制御システム(PLC、DCS)
- Level 3:製造オペレーション(SCADA、MES)
- Level 3.5(DMZ):IT/OT境界
- Level 4-5:エンタープライズIT
各レベル間の通信は、ファイアウォールやデータダイオード(一方向ゲートウェイ)で制御します。
IoTセキュリティ対策
家庭や企業で使用されるIoTデバイスに対しては、以下の対策を実施します。
- デフォルト認証の変更
- すべてのIoTデバイスで、初期パスワードを強力なものに変更します。可能であれば多要素認証を有効化します。
- 不要なサービスの無効化
- Telnet、FTP、UPnPなど、不要なネットワークサービスを無効化します。特にTelnetは多くのボットネットの侵入経路となっています。
- ファームウェア更新
- メーカーが提供するセキュリティアップデートを定期的に適用します。自動更新が可能な場合は有効化します。
- ネットワーク分離
- IoTデバイスを専用のVLANやネットワークセグメントに配置し、重要なシステムから分離します。家庭でもゲストネットワークにIoT機器を接続する方法があります。
- 監視の実施
- IoTデバイスの通信を監視し、異常なパターン(大量のデータ送信、未知の宛先への通信など)を検知します。
OTセキュリティ対策
OT環境では、IT環境とは異なるアプローチが必要です。
- 資産可視化
- すべてのOT資産(PLC、RTU、HMI、SCADA等)を特定し、インベントリを作成します。OT向けの資産探索ツールを使用して、パッシブに(通信を中断せずに)デバイスを発見します。
- 異常検知
- OTプロトコルを理解するネットワーク検知・対応(NDR)ソリューションを導入し、正常な通信パターンからの逸脱を検知します。
- 産業用ファイアウォール
- OTプロトコルを深く検査できる産業用ファイアウォールを導入し、不正なコマンドや異常な通信をブロックします。
- 一方向ゲートウェイ
- データダイオード(一方向通信装置)を使用し、OT環境からのデータ送信のみを許可し、外部からのOT環境への通信を物理的に遮断します。
製造業・OTセキュリティのページでは、業界特有の対策についてさらに詳しく解説しています。
監視と検知
IoT/OT環境の監視には、専用のツールとアプローチが必要です。
| 監視対象 | ツール/技術 | 検知可能な脅威 |
|---|---|---|
| ネットワーク通信 | OT向けNDR | 異常なプロトコル使用、不正なコマンド |
| 資産状態 | OT資産管理ツール | 未承認デバイス、設定変更 |
| 脆弱性 | パッシブ脆弱性スキャナー | 既知の脆弱性、パッチ未適用 |
| 脅威インテリジェンス | OT向け脅威情報サービス | 新たなマルウェア、攻撃キャンペーン |
事例と教訓
Mirai攻撃(2016年)
2016年10月21日、MiraiボットネットによるDDoS攻撃がDNSプロバイダーDynを襲いました。
攻撃の規模は約1.2Tbpsに達し、Twitter、Netflix、Reddit、GitHub、The New York Timesなど多数の主要サービスが数時間にわたりアクセス不能となりました。攻撃に使用されたのは、主にIPカメラ、DVR、ホームルーターなど、約10万台のIoTデバイスでした。
- 教訓1:デフォルト認証情報の危険性
- Miraiはわずか62種類のデフォルト認証情報で膨大なデバイスを乗っ取りました。デバイス導入時のパスワード変更は必須です。
- 教訓2:IoTデバイスの監視の重要性
- 感染したデバイスの所有者の多くは、自分のデバイスが攻撃に使用されていることに気づいていませんでした。IoTデバイスの通信監視が必要です。
- 教訓3:メーカー責任の問題
- セキュリティを軽視した安価なIoTデバイスが大量に市場に出回っていました。購入時のセキュリティ基準確認が重要です。
ウクライナ電力網攻撃(2015/2016年)
ウクライナでは、2015年と2016年に電力網を標的としたサイバー攻撃が発生しました。
2015年12月の攻撃では、BlackEnergyマルウェアが使用され、約22万5千世帯が最大6時間の停電を経験しました。攻撃者はSCADAシステムに侵入し、遠隔でブレーカーを開放しました。
2016年12月には、IndustroyerマルウェアがキーウのTransmission社を攻撃し、約1時間の停電を引き起こしました。このマルウェアは産業用プロトコルを直接操作する高度な能力を持っていました。
- 教訓1:IT/OT分離の重要性
- 攻撃者はまずIT環境(電子メール)にフィッシング詐欺で侵入し、そこからOT環境へ横展開しました。IT/OTの適切な分離が必要です。
- 教訓2:手動運転能力の維持
- 2015年の攻撃では、作業員が手動でシステムを復旧できたため、被害が限定的でした。自動化に依存しすぎない運用体制が重要です。
- 教訓3:インシデント対応計画の重要性
- OT環境を含めたインシデント対応計画の策定と訓練が必要です。
よくある質問
- Q: 家庭のIoTデバイス(スマートスピーカー、カメラ等)もマルウェアに感染しますか?
- A: はい、感染します。特にセキュリティが弱い安価なIoTデバイスは、Mirai系ボットネットの主要な標的です。デフォルトパスワードの変更、ファームウェアの更新、不要な機能の無効化、ネットワークの分離(IoT専用VLANやゲストネットワークへの接続)などの対策が重要です。信頼できるメーカーの製品を選ぶことも有効です。
- Q: 工場のOT環境はインターネットに接続していないので安全ですか?
- A: 完全に安全とは言えません。USBメモリ経由の感染(Stuxnetの例)、保守作業者のPC経由の侵入、IT環境からの横展開など、物理的に隔離されていても侵入経路は存在します。また、Industry 4.0の推進により、多くのOT環境がITネットワークに接続されつつあります。エアギャップを過信せず、多層防御を実施することが重要です。
- Q: 古いOT機器でセキュリティアップデートがない場合、どうすればよいですか?
- A: 直接的な対策ができない場合でも、ネットワークセグメンテーションによる分離、産業用ファイアウォールでの通信制御、監視強化による異常検知など、補償制御を実施できます。また、脆弱性管理の観点から、リスク評価を行い、機器更新の優先順位付けや予算確保を経営層に提案することも重要です。
- Q: IoT/OT環境でEDRは使えますか?
- A: 一般的なEDRは、Windows/Linux/macOSなどの汎用OSを前提としており、組み込みシステムやリアルタイムOS上で動作するIoT/OT機器には直接導入できないことが多いです。代わりに、ネットワークベースの監視(OT向けNDR)や、エージェントレスの資産・脆弱性管理ツールが使用されます。一部のエンジニアリングワークステーションやHMI(Windows搭載)にはEDRを導入できる場合があります。
まとめ
IoT/OTマルウェアは、デジタル化が進む現代社会において、ますます深刻な脅威となっています。家庭のスマートデバイスから国家インフラまで、あらゆるものがサイバー攻撃の標的となり得ます。
IoTデバイスに対しては、デフォルト認証情報の変更、ファームウェア更新、ネットワーク分離といった基本対策を徹底することが重要です。OT環境では、IT/OT分離、Purdueモデルに基づくセグメンテーション、OT専用の監視ソリューションの導入が推奨されます。
これらの対策は、組織的マルウェア対策の一環として、経営層の理解と予算確保のもとで計画的に進める必要があります。IoT/OTセキュリティは専門性が高いため、必要に応じて専門家やコンサルタントの支援を受けることも検討してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にマルウェア感染の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- OTセキュリティは安全(Safety)に直結する場合があり、専門家への相談を推奨します。
- 記載内容は作成時点の情報であり、マルウェアの手口は日々進化している可能性があります。
更新履歴
- 初稿公開
