あなたの家のルーターも、住宅用プロキシマーケットプレイスで売られてるかも？

主なポイント

• Water Barghest は、IoT デバイスの脆弱性を悪用してボットネットを構築している
• 自動化されたスクリプトを使って Shodan などから脆弱なデバイスを特定し、Ngioweb マルウェアを感染させる
• 感染したデバイスは住宅用プロキシとして登録され、収益化されている

社会的影響

• IoT デバイスの大規模な感染により、個人情報の窃取や不正アクセスなどの深刻な被害が発生する可能性がある
• 住宅用プロキシサービスの悪用により、サイバー犯罪の匿名化や検知回避が容易になり、セキュリティ対策の困難性が高まる
• IoT デバイスのセキュリティ強化の重要性が再認識される

編集長の意見

Water Barghest は高度な自動化機能を持つボットネットであり、IoT デバイスの脆弱性を悪用して大規模な感染を引き起こしています。危険なのは、感染デバイスが住宅用プロキシとして悪用されることです。これによりサイバー犯罪の匿名化や検知回避が容易になり、深刻な社会的影響が懸念されます。IoT デバイスのセキュリティ強化と、住宅用プロキシサービスの適切な管理が喫緊の課題となっていると考えられます。

さて、ここで「住宅用プロキシー」という聞き慣れない言葉が出てきたので解説しておきます。
これは、インターネット通信を経由するための中継サーバーの一種で、特に「住宅用IPアドレス」を持つプロキシを指します。
この「住宅用IPアドレス」とは、家庭や個人ユーザー向けのインターネット接続に割り当てられたIPアドレスであり、データセンターなどの商業用IPとは異なります。
つまり、サイバー攻撃者はあなたの家のルーターを経由＝IPを使って、悪いことをするのです。ウェブサイトやサービスから見ると、通信元があなたの家の「家庭用ネットワーク」からのアクセスに見えます。何かデータが盗まれた時、あなたの家のIPが検出されたとしたらその罪はあなたに被せられるかもしれません。

商業用IP＝データセンターのIPアドレスをブロックする一方で、住宅用IPは見逃す率が高いので、そこをついて、こういったネットワークを構築して、さらに、この情報を、ダークなところで売買することでWater Barghestのようなボットネットは、収益化しています。

こういうカラクリです。つまり
・匿名性が向上し、防御を回避しやすいネットワークを手に入れられる
・どこどこのIPを中継したらいいというリストを作り、それを売ることで収益も得ている

これが家庭用のルーターや防犯カメラなどIoTを狙う理由です。
特に家庭にFWを入れたりしませんしね。個々のPCのウィルスソフトは入れていても、ルーターやカメラ、スマートホーム機器にまでそういった対策を施してはいませんから。
その上最近の機器は高スペックになってきているので、家庭用のルーターやIoT機器を複数台集めて、「住宅用IPアドレス」経由攻めるというのは、直接、企業を攻めるよりも色々攻撃者にとっては良いのでしょう。

今まで企業に対するフィッシング、マルウェア、ランサムウェアへの脅威が語られてきましたが、実は企業や病院を攻めて情報を人質に取ったり、データを盗み出しているのは、みなさんの家庭のネットワークからだったということも考えられるのです。家の心配もしたほうがいいですよ。
でも、その気をつけないといけない家庭への防御壁の作り方など、この課題を、国、行政、あるいはコミュニティや組織の方が積極的かもしれませんが、どうやって啓蒙していくのか？
そこを考えるのが、今後より重要なことになるだろうと考えます。
われわれPacket-Pilotとしては、毎日このようにちょっとずつでもこうやって情報をサイトで公開しながら啓蒙活動を続けていきたいと考えております。

背景情報

• Ngioweb マルウェアは 2018 年に Windows ボットネットとして登場し、2019 年には Linux システム、特に WordPress ベースのウェブサーバーにも感染するように進化している
• Ngioweb は 2 段階の C&C インフラストラクチャと独自のバイナリプロトコルを使っており、幅広いオペレーティングシステムやウェブアプリケーションに感染する可能性がある
• 住宅用プロキシマーケットプレイスでは、大量の感染 IoT デバイスへのアクセスが提供されており、悪意のある行為者による匿名化や検知回避に悪用される可能性がある