DynへのDDoS攻撃が、様々なIoT（モノのインターネット）デバイスに存在するセキュリティホールによって可能になったという報道は数多くなされています。しかし、残る疑問は、どうすればこのような事態を再び防ぐことができるのかということです。

答えるのは難しいですね。まず、私のウェブカメラがこの攻撃に関与していたかどうかは全く分かりません。おそらくあなたも、自分のウェブカメラが関与していたかどうか分からないでしょう。

第二に、 将来的にこの種の攻撃に利用されないようにウェブカメラを保護する合理的な方法はありません。このエクスプロイトで利用されたセキュリティホールは、ウェブカメラの製造元が中国から調達した組み込みOSのコア機能に埋め込まれています。私のウェブカメラを製造した会社でさえ、このセキュリティホールの存在を全く知らなかった可能性が高いです。

ユーザーにもHomeKitにも頼れない

たとえ、影響を受けるすべてのデバイスでこの1つのセキュリティホールを修正できたとしても（そして重要なのは、それが不可能だということです）、プリンター、DVR、ドアベル、サーモスタットに存在する同様のセキュリティホールはどうでしょうか？ 現実には、これらの悪用可能なデバイスは一般家庭に広く普及しており、すべての家庭が侵害され、今後も長期間にわたってその状態が続くと想定する必要があります。Appleの非常に安全なHomeKitプロトコルは、HomeKitデータのハッキングを極めて困難にしていますが、他の方法でこれらのデバイスが悪用される可能性を完全に防ぐことはできません。

これに対抗する最善の方法は、単一のエクスプロイトが及ぼす影響を制限することです。速度制限標識は車のスピードを落とすことはあまりありませんが、スピードバンプは確かに効果があります。もし、このようなDDoSボットネット攻撃が意味のある影響を与えるのを制限するスピードバンプを設置できたらどうなるでしょうか？

すべてのルーターがDDOSボットネット攻撃の障害となる

これについては、ルーターのメーカーに頼っています。DDoS攻撃の問題は、攻撃を受けているサーバーが正常なトラフィックと不正なトラフィックを区別するのが非常に難しいことです。しかし、ルーターはリクエストを送信したデバイスに関するより多くの情報を持っています。

最近のきちんとした家庭用ルーターは、トラフィック管理にQuality of Service（QoS）アルゴリズムを採用しています（Appleさん、そろそろ追いついて！）。つまり、ルーターは（あるいはそうあるべきですが） 、自宅に出入りするすべてのパケットを検査し、重要なパケットを適切に優先順位付けして、スムーズなインターネット体験を実現しているのです。

ルーターメーカーは、ウェブカメラなど、その種類のデバイスには一般的ではないリクエストを実行し始めるデバイスを検出するために、QoSアルゴリズムを強化できます。ほとんどのルーターでは、これはファームウェアのアップデートだけで済むでしょう。今日のルーター（Apple製品も含む）は、適切なファームウェアがインストールされていれば、この種のオンザフライ分析を処理できるほど高速なCPUを搭載しています。

さらに、NETGEAR、eeroなどのルーターメーカーは、新しいデバイスやサービスに対応するために自動更新されるQoS（Quality of Service）やペアレンタルコントロールのデータベースを持っています。これらのデータベース更新には、攻撃対象となったサーバーのアドレスも含まれている可能性があります。Dynは、自社が標的にされていることを察知した時点で、ルーターメーカーに対し、データベースにアドレスを追加し、アップデートをリリースするよう要請できたはずです。

楽しくなくなるまでスピードを落としましょう

重要なのは、こうした種類の攻撃を完全に阻止することではありません。それができれば理想的ですが、現実的に不可能です。むしろ、こうした攻撃の影響を最小限に抑えることです。十分な割合の消費者が、この種の活動を自動的に制限するルーターを使用していれば、攻撃者にとってのメリットは大きく失われるでしょう。

ええ、確かに、攻撃者がルーター内のブロックを回避しようとする、猫とネズミの追いかけっこのシナリオは存在しますが、これは非常に良いスタートになると思います。今のところ、ネズミは目が見えず動けず、猫は大喜びです。

ルーター製造業者の皆様、ボールはあなたのコートにありますが、私たちは全員、そのプロセスをサポートするためにここにいます。