ワーム戦争 IoT分野におけるボットネット間の戦い

近年、サイバー犯罪者グループ間ではIoTマルウェアによってルータやIoT機器を感染させ、奪い合う「ワーム戦争」が激化しています。なぜならサイバー犯罪者にとって感染デバイスを多く確保することが収益につながるからです。例えば、感染デバイスを介してサードパーティへ分散サービス拒否（DDoS）攻撃を仕掛ける手法はよく知られている収益化方法の一つです。これはオンライン恐喝の常套手段であり、この攻撃によってインターネット端末がサービスに接続することを不可能にし、復旧を条件にサービス提供企業に金銭の支払いを要求します。多くの企業が電子商取引に依存している現状において、この手口はより有効なものとなっています。サイバー犯罪者はまた、感染したデバイスのIPアドレスになりすまし、自身の痕跡を隠蔽し、不正活動を他のユーザの仕業に見せかけることができます。

サイバー犯罪者は、十分な数の感染デバイスを確保すると、これらを用いて強力なボットネットを形成した上で、個別サービスとして販売する場合もあります。実際に「インターネット上でDDoS攻撃を実行して標的のWebサイトをダウンできます」「ランダムなIPアドレスを使用して匿名でインターネットにアクセスできます」など、サイバー犯罪アンダーグラウンド市場では、個別サービスに関する宣伝文句を目にすることができます。このように、サイバー犯罪者にとって感染デバイスは「金のなる木」を意味しており、多数のデバイスを確保すればするほど、ボットネットが強大となり、ボットネットを活用した不正活動の収益が高まります。

このため、サイバー犯罪者の間では、できるだけ多くのデバイスを乗っ取るための競争が発生することになります。実際、あるサイバー犯罪者グループはデバイスを確保した際、そこに他のマルウェアが既に感染していた場合には、それらをアンインストールする動きを行っています。むろんこれは、大きな悪を食い止めるロビン・フッドのような英雄的行為ではありません。これは単に泥棒同士の縄張り争いであり、自分の制御下に置く感染デバイスの数を巡って争っているに過ぎません。さらに言えば、「デバイス上で複数のボットネットマルウェアが感染することはできない」という技術的な理由はなく、ボットネットの所有者がせっかく確保した感染デバイスの帯域を単に独り占めしたいだけなのです。

ルータが感染した場合、ユーザはさらに厄介な被害に見舞われます。使用中のIPアドレスが活動中のIoTボットネットの一部として識別されると、各種セキュリティソリューションのブラックリストに登録されてしまいます。一旦、ブラックリスト化されると、感染ルータを使用する被害者のデバイスは、サイバー犯罪に加担するだけでなく、インターネットや被害者が所属する会社環境にもアクセスできなくなります。多くの人々がテレワークを行っている現在、自宅で使用しているホームルータのセキュリティ対策は、これまで以上に重要になってくると考えられます。