IoTマルウェア「Mirai」のボット化作戦進行中? 警察庁が警戒呼び掛け
マルウェア「Mirai」およびその亜種からとみられるアクセスの急増が観測された。デジタルビデオレコーダーをボット化する可能性があるという。
警察庁が、IoTマルウェア「Mirai」とその亜種によるとみられる感染活動への警戒を呼び掛けている。2016年12月に、デジタルビデオレコーダー(DVR)標的にしたとみられる不審なアクセスが多数観測されている。
同庁によると、インターネット定点観測システムで同月10日頃から、主にDVRが使うポート37777/TCPに対するアクセスが急増。アクセスには、JSON形式によるポートマッピングの設定が含まれ、インターネット側からポート23231/TCPに対するアクセスが機器内のポート23/TCPに接続するように変更されてしまう恐れがあるという。
さらに21日以降は、23231/TCPの開放状況を確認することが目的とみられるアクセスが大幅に増加した。警察庁がこのアクセスに応答すると、Telnetにログインしてコマンド実行を試みるアクセスが発生し、この特徴がMiraiやその亜種で使用されるコマンドに類似していた。MiraiがTelnet探索時に送信するパケットに、TCPシーケンスの番号があて先のIPアドレスと一致する特徴があり、23231/TCPに対するアクセスの99%以上、37777/TCPに対するアクセスの80%以上でこの特徴が観測された。
また18日以降に、ポート6789/TCPへのアクセスが増加。アクセス内容からは、LinuxなどのBusyBoxコマンドを使ってポート19058/TCPでバックドアを構築する狙いが疑われ、Miraiやその亜種が使うコマンドに類似していた。同時期に19058/TCPへのアクセスも少数ながら観測された。6789/TCPへのアクセスの発信元の多くが、19058/TCPにもアクセス可能な状態であることが分かり、警察庁では19058/TCPでバックドアを構築されてしまっている機器が存在するとみている。
Miraiは、IoT機器への感染を広げると同時に、感染先の機器を遠隔操作できるようにしてしまうのが特徴。2016年夏には、観測史上最大級とみられるDDoS(分散型サービス)攻撃が発生し、Miraiに感染した機器群のボットネットが実行したとされる。その後にMiraiのソースコードがインターネット上で公開された。これをもとに多数の亜種が開発され、感染を広げているとみられている。
警察庁は、対策として(1)初期設定のユーザー名とパスワードを使わず推測しにくいものに変更する、(2)IoT機器を直接インターネットにつなげずファイアウォールなどで遮断したり制限したりする、(3)機器製造元の情報などを確認してファームウェア更新などを実施する、(4)不要ならルータなどのUPnP機能を無効にする――方法の実施を呼び掛けている。
関連記事
- Deutsche Telekomのルータで大規模障害、マルウェア「Mirai」が関与か
Deutsche Telekom顧客のルータが外部からの攻撃を受けて障害に見舞われた。IoTマルウェア「Mirai」の関与が指摘されている。 - 「Mirai」ボットネットが国家を標的に、さらなる大規模攻撃の予兆か
「Miraiを操る者が1国のシステムに深刻な打撃を与えられることを見せつけたという点で、極めて憂慮すべき事態」と研究者は受け止めている。 - 続報・IoTマルウェアの大規模DDoS攻撃、DNSリトライ集中で威力増大か
Dynを襲った事件では、IoTマルウェア「Mirai」のボットネットによる攻撃を受けて再帰DNSリトライによる正規のトラフィックが集中し、攻撃の威力が増大した。 - マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現
史上最大級のDDoS攻撃を引き起こしたマルウェア「Mirai」に感染するIoTデバイスが急増し、Miraiの亜種も次々に出現しているという。 - 史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用
ルータや防犯カメラといったIoTデバイスに感染してボットネットを形成し、DDoS攻撃を仕掛けるマルウェアのソースコードが公開された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.