DDoS攻撃の温床となる
IoT機器の安全性を確保するには

2024年末から2025年初頭にかけて、運輸や情報通信、金融などの重要インフラ事業において、立て続けにDDoS攻撃※1が原因と思われるシステム障害が発生した。このDDoS攻撃の原因の一つとなっているのが、IoTボットネットと呼ばれる、攻撃の踏み台として利用されたIoT機器群だ。今回は、その仕組みとIoT機器の安全性を確認する方法について説明したい。

日本におけるDDoS攻撃の状況

 情報処理推進機構(IPA)が1月に公開した「情報セキュリティ10大脅威 2025 組織編」で「分散型サービス妨害攻撃(DDoS攻撃)」が5年ぶりに10位以内に入った。2024年はDDoS攻撃の被害が相次ぎ、政府機関や自治体、重要インフラ事業者も攻撃を受けた。中学生による犯行や年末年始の運輸事業者の一部サービス停止など、記憶にある方もいるだろう。

 情報通信研究機構(NICT)が主導し、サイバー攻撃の調査・分析・情報提供を行う「NICTERプロジェクト」によると、一つのIPアドレスを1年間観測したときに届くパケット数は年々増加している。2024年は、マルウェアに感染したIoT機器がDDoS攻撃に利用されるケースが増え、サイバー攻撃に関わる通信が全体の約3割を占めたとのことだ。

年末年始のDDoS攻撃の仕組み

 前述の重要インフラ事業者へのDDoS攻撃は、マルウェアに感染させられたIoT機器が用いられたといわれている。
 攻撃者はまず、ファームウェア※2がアップデートされておらず脆弱性が残ったままのIoT機器やパスワードが弱いIoT機器などを攻撃し、マルウェアに感染させる。次に、C&Cサーバー※3に対し、マルウェアにDDoS攻撃させるよう命令する。C&Cサーバーからの命令を受け取ったマルウェアは攻撃対象にDDoS攻撃を行う。マルウェアに感染させられた多くのIoT機器が踏み台となってDDoS攻撃を行うことで、大きな被害につながっているのである。こうした攻撃に利用されるIoT機器群をIoTボットネットという(図1)。

IoT機器の安全性を確認するには

 Wi-Fiルーターや遠隔操作できるWebカメラなど、利用しているIoT機器がボットネットの一部になっていないかを確認する方法がある。横浜国立大学が運用している「am I infected?」だ。この無料サービスを利用すると、IoT機器がマルウェアに感染していないかを確認できる。具体的な流れは以下の通りだ(図2)。

①利用者は検査依頼画面から必要事項を入力し検査を依頼。
②直近24時間以内のサイバー攻撃観測システム※4の観測結果を基に、利用者のWi-Fiルーターから不審な通信が届いていないかを確認。(直近24時間以内に不審な通信が観測されなければ感染なしと判定)
③検査結果のメールを送信。
④メール記載の【検査結果・再検査用ページ】にアクセスして検査結果を確認。

 サービスの仕組み上、家庭用Wi-Fiルーターではなく、その上位のルーターが検査対象となる場合がある。マンションの管理業者がマンション全体のルーターにグローバルIPアドレスを割り当て、個々の家庭にはローカルIPアドレスを割り当てるようなケースだ。詳細は、「am I infected?」のWebサイトを参照いただきたい。

DDoS攻撃の被害を減らすために

 DDoS攻撃の発信元となるIoT機器の所在は、欧米、アジアなど多岐にわたる。横浜国立大学によれば、国内での脆弱性があるIoT機器の数は1年間で集計すると20万強となり、マルウェア感染機器は約4,400台に上るとのことだ。インターネットからアクセスできるIoT機器を保有している個人や事業者は、状態を確認の上、以下のいずれかの対策を行っていただきたい。

・最新のファームウェアへのアップデート(自動更新が設定できるものは、自動更新を推奨)
・初期パスワードから複雑で長いパスワードへの変更
・利用していないIoT機器の電源オフ
・サポート終了IoT機器のリプレース

 かくいう我々セキュリティベンダーやSI事業者も、お客さま先のIoT機器の状況を確認しアドバイスをするとともに、世の中に対し継続的に啓発を行っていく必要がある。

※1 Distributed Denial of Service攻撃:複数の中継コンピュータから一斉にパケットを送信し、サーバーへ負荷を与え、サービスを低下させることを目的とした攻撃。
※2 ファームウェア:ハードウェアを制御するためのソフトウェアの一種。
※3 Command & Controlサーバー:サイバー攻撃などで、ウイルスに感染したコンピュータを制御したり命令を出したりする役割を担う。
※4 サイバー攻撃観測システム:横浜国立大学が運用するハニーポットおよびNICTが開発・運用するサイバー攻撃観測・分析システム「NICTER」。

〈参考〉
IPA「情報セキュリティ10 大脅威 2025 組織編」
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
NICT「NICTER観測レポート2024」
https://www.nict.go.jp/press/2025/02/13-1.html
総務省「DDoS攻撃の傾向と対策について」
https://notice.go.jp/images/survey/survey_ddos_attacks.pdf
内閣サイバーセキュリティセンター(NISC)「DDoS攻撃への対策について(注意喚起)」
https://www.nisc.go.jp/pdf/news/press/202502 04_ddos.pdf
横浜国立大学「家庭用ルーターなどIoT機器のマルウェア検査サービス『am I infected?』」
https://amii.ynu.codes/