DDoS攻撃とは何かを理解するために、まず、DoS攻撃を知る必要があります。DoS攻撃とは、特定のWEBサイトやサーバに対し、一度に大量のリクエストを送りつけ、サーバの負荷やデータ通信量を増加させ、サーバやWEBサービスをダウンされることを目的とした攻撃です。
このDoS攻撃をより一層悪質にしたのがDDoS攻撃です。DoS攻撃の攻撃元を複数に分散させたものがDDoS攻撃で、DoS攻撃よりもはるかに大量の攻撃をしかけることができます。
この事例では、DDoS攻撃をしかける際、ネットワークカメラや家庭用ルーター等のIoT機器が利用されました。「Mirai」というマルウェアが感染したIoT機器が、特定のWEBサイトに一斉に攻撃をしかけ、Netflix、Twitter、SpotifyなどWEBサイトが長時間にわたってダウンしました。DDoS攻撃の規模は数百Gbps~1Tbpsを超える巨大な規模だったと言われています。
Miraiのソースコードは作者を名乗る人物により公開されましたので、Miraiどのように動作し攻撃をしかけたのか明確に分析されました。
ここでは、Miraiがどのようにネットワークカメラや家庭用ルーター等のIoT機器を利用した攻撃をしかけたのかみていきます。まず、Miraiがインターネット上でランダムなIPアドレスに対して接続要求を出します。
応答のあったIPアドレスに対し、様々な組み合わせのログインIDとパスワードを送信します。
インターネットに接続されているネットワークカメラや家庭用ルーター機器のうち、メーカー出荷時に設定されているパスワードを変更しないで運用されている機器には簡単にログインできてしまいました。ログイン後、それらのネットワークカメラや家庭用ルーター機器上から、ボットと呼ばれる自動化されたタスクを実行するソフトウェアをダウンロードします。複数のボットをインターネット上でつなぎあわせ、ボットネットを構成します。
ボットネットは、ハッカーからの攻撃命令を待ちます。攻撃者はコマンド&コントロールサーバからボットネットを遠隔操作し、WEBサイトなどに対して一斉に攻撃をしかけます。
この事例において、攻撃元のIoT機器が大量に増えた理由として、一度Miraiに感染したIoT機器が自動的に別の感染できそうな機器をどんどん探していく挙動があげられます。この挙動により、感染した機器が芋づる式に増えていきました。