バークレー大学の研究者らは、2016年にブライアン・クレブスのウェブサイトをダウンさせたDynベースのIoT攻撃により、デバイスの所有者が32万ドル以上の損害を被ったと見積もっている。
2016 年の KrebsOnSecurity 攻撃では数万台のデバイスが影響を受けたため、個人にかかるコスト (電力消費と帯域幅料金) は、ハッキングされたデバイス 1 台あたり数ドルにしかなりません。
バークレーの研究者らは、その所有者にかかる総費用を323,973.75ドルと見積もった。
これは IoT の世界の問題です。Dyn のような攻撃を仕掛けるのは、簡単な認証情報と処理能力を備えた十分な数のデバイスさえ見つけられれば、攻撃者にとっては低コストで済みます。また、モノの所有者にかかるコストは気付かれないほど小さいのです。
セキュリティー担当者クレブスのウェブサイトDDoS攻撃はハッキングされたIoTボットネットによって実行された
続きを読む
同大学のキム・フォン氏、カート・ヘプラー氏、ロヒット・ラガヴァン氏、ピーター・ローランド氏らが実施し、「プロジェクト rIoT」と名付けられたこの研究は、よく知られた攻撃コスト計算の原則を企業ではなく消費者に適用する試みである。
研究者たちはコストの見積もりを出すために、デバイスにMiraiを感染させ、その活動を観察した。研究室では、Miraiに感染したデバイスの電力消費量はわずかに増加するだけであることがわかった。消費者にとってより大きなコストは、感染した「モノ」によって盗まれた帯域幅である。
調査のために購入したさまざまなデバイスのうち、テスターが Mirai をインストールできたのは、Samsung Smartcam SNH-1011N と Dreambox DM500-C デジタルビデオレコーダーの 2 つだけでした。これは、ファームウェアがまだ Telnet アクセスをサポートしていたためです (テスターは、Samsung のデバイスで Telnet を有効にするには多少のハッキングが必要だったと指摘しています。「Web インターフェースのコマンド インジェクションの脆弱性を悪用して Telnet を有効にすることができました」とレポートには記されています)。
Dreambox DVR の電力消費は「Mirai モード」でも 1% 未満しか増加しなかったが、Samsung Smartcam は感染して Ethernet 経由で接続されると、はるかに多くの電力を消費し、13% 以上も増加した。
帯域幅もデバイスごとに非常にわずかで、Dreambox DVR では 30 分間で 3 MB、イーサネットを使用した Samsung Smartcam では 30 分間で 6 MB 以上 (WiFi 経由で接続した場合は 1 MB 未満) でした。
しかし、大規模なボットネットに集約されると、消費者にかかるコストは相当なものになるはずです。
次に、ラボのコスト モデルを KrebsOnSecuity のケース スタディに適用し、合計で 323,974 ドル、デバイス 1 台あたり約 13.50 ドルという見積もりを導き出しました。
この研究にはもう 1 つの成果があります。著者らはリソース監視ツールを GitHub で公開しました。®
