「Mirai」をベースにした新手のボットネット型マルウェア「Wicked」は、ルータなど特定のIoTデバイスの脆弱性を悪用する。
米セキュリティ機関のSANS Internet Storm Centerは5月21日、IoTデバイスを狙うマルウェア「Mirai」をベースにした新手のボットネット型マルウェアが出回っていると伝えた。
SANSによると、MiraiがIoTデバイスのデフォルトの認証情報を突くなどの手口で感染を広げていたのに対し、新手のボットネット「Wicked」は、特定のIoTデバイスの脆弱性を悪用する手口を使っている。
標的にされているのは、Netgearのルータ「DGN1000」「DGN2200」(8080番ポート)と「R7000」「R6400」(8443番ポート)、CCTV-DVR(81番ポート)、および改ざんされたWebサーバに仕込まれているInvokerシェル(80番ポート)。それぞれのポートをスキャンして、接続が確立されると別のマルウェアを呼び込もうとする。
現時点で、Wickedに感染したデバイスには、「Omni」というボットネットがダウンロードされるという。セキュリティ企業のFortinetによれば、それ以前には「Sora」「Owari」と命名されたボットネットがダウンロードされていたことが分かっており、WickedとSora、Owari、Omniはいずれも同じ人物によって作成されたとFortinetは推定している。
IoTマルウェアのMiraiは2016年に出現して史上最大級の分散型サービス妨害(DDoS)攻撃を引き起こし、その後ソースコードが公開されたことから亜種が続出していた。
Fortinetによると、Miraiに手を加えた亜種は増え続けており、感染したデバイスをプロキシサーバ化したり、仮想通貨の採掘に利用したりする亜種も見つかっているという。
Copyright © ITmedia, Inc. All Rights Reserved.