制御サーバへの接続性に着目したIoTボットネットの解析

IoT機器が急速に普及している一方で，攻撃者はセキュリティに問題のあるIoT機器をマルウェア感染させている．また，感染した機器により構成されるIoTボットネットは，DDoS攻撃やマイニング，機器の破壊を行うなどインターネット上の脅威となっている．そのようなIoTボットネットの対策を考える上で，IoTマルウェアがダウンロードされるサーバや感染機器を制御するサーバの特徴を把握することは重要である．本研究では，インターネット上に公開したIoTハニーポットの観測結果を用いて，IoTボットネットの制御インフラを解析する．実験の結果，観測されたボットネットの大部分において，IoTマルウェアは制御サーバ情報を１つしか持たず，制御サーバの生存期間が短命であることから，IoTボットネットの多くは使い捨てであることがわかった．その一方で，一部のIoTボットネットがWindowsボットネットで使われていたIP Flux等の検知回避手法を用いるなど，堅牢なインフラを構成し始めたこともわかった．そこで，IoTボットネットの特徴とその対策について考察を行った．

While IoT devices are rapidly spreading, attackers infect insecure IoT devices with malware. IoT botnets composed of these infected IoT devices have become threats on the Internet conducting various attacks such as record-breaking DDoS attacks by Mirai. For conducting efficient countermeasures, it is important to grasp the characteristics of the malware download servers and Command and Control (C&C) servers. In this paper, we study the control infrastructure of IoT botnet by capturing malware binaries using IoT honeypot and analyzing them with malware sandbox. As a result, we found that most of the analyzed IoT malware binaries contain minimum information to connect their C&C servers whose active period is also very short. Therefore, most of the observed IoT botnets are short-lived and used in disposable manner. However, we note that it is found that a few IoT botnets began to adopt similar techniques used by Windows botnets to construct a robust infrastructure. We then discuss countermeasures.