Monday, September 25, 2023 11:58 AM
IoT機器類へのサイバー脅威が2023年にさらに深刻化
サイバーセキュリティー会社キャスパースキー(Kaspersky、モスクワ拠点)が9月22日に公開した最新の調査報告によると、モノのインターネット(Internet of Things=IoT)関連サービスへの攻撃とDDoS(Distributed Denial of Service)攻撃の激化によって、IoTのサイバーセキュリティー・リスクが高まっている。
ハックリード誌によると、IoT機器類の数は、2030年までに世界で290億台を突破する見通しで、サイバー犯罪者たちにとって魅力的な標的となっており、IoT機器や関連サービスを標的とする攻撃は昨今、ハッカーらが暗躍する地下経済の中心の一部になっている、とキャスパースキーは9月23日に警告を発した。
同社による今回の調査は、ダーク・ウェブの活動や流行しているマルウェアの種類、ハッカーらのおもな犯行手口に関する重要な洞察を示すものだ。
一般的に、DDoS攻撃の防御および被害緩和サービスのコストは、防御やキャプチャ(CAPTCHA)、被害側のジャヴァスクリプト(JavaScript)検証といったいくつかの要因によって異なるが、一日あたり20ドルから、1ヵ月あたり1万ドルの範囲だ。平均すると、1日あたり63.50ドル、1ヵ月あたり1350ドルだ。
ダーク・ウェブ市場では、DDoSサービスにとどまらず、IoT機器類の脆弱性に対するゼロ・デイ攻撃のための基幹設備と攻撃支援ツール群のセットでサイバー犯罪者らに提供されている。
サイバー犯罪者らがIoT機器類に侵入するおもな手口としては、脆弱な認証語の総あたり攻撃が依然として一般的だ。その次に、ネットワーク・サービスの脆弱性を悪用する方法がある。
キャスパースキーのハニーポッツ(honeypots)は2023年上半期に、認証語の総当たり攻撃の97.91%がテルネット(Telnet)に集中し、より安全なSSH(Secure Socket Shell)はわずか2.09%だったことを記録した。それらの攻撃対象の大部分は、中国とインド、米国に集中しており、攻撃者たちの拠点としては中国とパキスタン、ロシアが最多だ。
キャスパースキーのサイバーセキュリティー専門家ヤロスラフ・シュメレフ氏は、「消費者向けと産業向けの両方のIoT機器類についてサイバーセキュリティーの強化を優先するようわれわれは顧客会社らに助言している」「IoT機器類の初期設定認証語の即時変更を徹底し、脆弱性を修正するパッチを一貫して提供していく必要がある」と述べた。
同社は、今回の調査結果を受けて、2023年におけるIoT脅威が非常に厳しくなるという見方を明示した。
https://www.hackread.com/iot-vulnerabilities-dark-web-ddos-economy/