IoTデバイスの脆弱性を突くマルウェア「Wicked」、Miraiの新手の亜種Netgearのルータが標的に

「Mirai」をベースにした新手のボットネット型マルウェア「Wicked」は、ルータなど特定のIoTデバイスの脆弱性を悪用する。

» 2018年05月22日 10時00分 公開
[鈴木聖子ITmedia]

 米セキュリティ機関のSANS Internet Storm Centerは5月21日、IoTデバイスを狙うマルウェア「Mirai」をベースにした新手のボットネット型マルウェアが出回っていると伝えた。

 SANSによると、MiraiがIoTデバイスのデフォルトの認証情報を突くなどの手口で感染を広げていたのに対し、新手のボットネット「Wicked」は、特定のIoTデバイスの脆弱性を悪用する手口を使っている。

 標的にされているのは、Netgearのルータ「DGN1000」「DGN2200」(8080番ポート)と「R7000」「R6400」(8443番ポート)、CCTV-DVR(81番ポート)、および改ざんされたWebサーバに仕込まれているInvokerシェル(80番ポート)。それぞれのポートをスキャンして、接続が確立されると別のマルウェアを呼び込もうとする。

photo Wickedについて報じたSANS Internet Storm Centerのページ
photo Wickedに感染したデバイスには、「Omni」というボットネットがダウンロードされる(出典:Fortinet)

 現時点で、Wickedに感染したデバイスには、「Omni」というボットネットがダウンロードされるという。セキュリティ企業のFortinetによれば、それ以前には「Sora」「Owari」と命名されたボットネットがダウンロードされていたことが分かっており、WickedとSora、Owari、Omniはいずれも同じ人物によって作成されたとFortinetは推定している。

 IoTマルウェアのMiraiは2016年に出現して史上最大級の分散型サービス妨害(DDoS)攻撃を引き起こし、その後ソースコードが公開されたことから亜種が続出していた。

 Fortinetによると、Miraiに手を加えた亜種は増え続けており、感染したデバイスをプロキシサーバ化したり、仮想通貨の採掘に利用したりする亜種も見つかっているという。

関連キーワード

IoT | ボットネット | マルウェア | Fortinet


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ