　ドイツの通信大手Deutsche Telekomは11月28日、同社顧客のルータが外部からの攻撃を受けて障害に見舞われたことを明らかにした。米セキュリティ機関SANS Internet Storm Centerはこの攻撃について、IoTデバイスに感染するマルウェア「Mirai」の関与を指摘している。

11月30日現在でも障害が継続している（Deutsche Telekomサイトより）

　Deutsche Telekom顧客の間に障害が広がったのは11月27日頃からだったと伝えられている。同社の説明によれば、ルータにマルウェアを感染させようとする攻撃が失敗し、それが原因で全ルータの4～5％がクラッシュしたり制限がかかったりして、顧客のサービスに障害が発生した。

　同社は影響を受けた顧客に対し、ルータをいったん電源から切り離して再起動するよう促している。ルータのメーカーと連携してソフトウェアアップデートを開発し、影響を受ける全顧客向けに配信しているといい、再起動する過程でこの更新が自動的に適用されると説明。その後は正常に動作するはずであり、マルウェアがルータに常駐することはないとしている。

　SANSの研究者は今回の攻撃について、インターネットサービスプロバイダーがモデムを遠隔管理するための標準規格「TR-069」に関する脆弱性が悪用された可能性があると指摘した。ドイツで障害が発生したのと同時期に、TR-069の通信に使われる7547番ポートに対する攻撃の急増が観測されていたという。

ポート7547番に対する攻撃の推移（SANSより）

　TR-069の脆弱性を悪用されてデバイスがMiraiに感染し、「100～200万台が新しくMiraiのボットネットに追加された可能性がある」と研究者は推測する。

　この脆弱性はZyxelが製造したOEMモデムで確認されたほか、D-LinkやMitraStar、Digicom、Aztechなどのメーカーが製造したモデムにも存在すると報告されているという。「現時点で新たに感染したシステムは被害者を増やすためのスキャンにのみ利用されているが、DDoS（分散型サービス妨害）攻撃に使われるのは時間の問題」とSANS研究者は警告している。

「Mirai」ボットネットが国家を標的に、さらなる大規模攻撃の予兆か
「Miraiを操る者が1国のシステムに深刻な打撃を与えられることを見せつけたという点で、極めて憂慮すべき事態」と研究者は受け止めている。
続報・IoTマルウェアの大規模DDoS攻撃、DNSリトライ集中で威力増大か
Dynを襲った事件では、IoTマルウェア「Mirai」のボットネットによる攻撃を受けて再帰DNSリトライによる正規のトラフィックが集中し、攻撃の威力が増大した。
大規模DDoS攻撃は防犯カメラが踏み台に、中国メーカーがリコール表明
今回の攻撃では中国のXiongmai製の防犯カメラやIPカメラ多数が踏み台にされていたことが判明。Xiongmaiはリコールを表明すると同時に、報道機関に対する法的措置も辞さない構えを示した。
マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現
史上最大級のDDoS攻撃を引き起こしたマルウェア「Mirai」に感染するIoTデバイスが急増し、Miraiの亜種も次々に出現しているという。
大規模DDoS攻撃横行の恐れ、IoTマルウェア「Mirai」のソースコード公開で米機関が注意喚起
マルウェア「Mirai」による大規模DDoS攻撃の危険が高まったとして、米US-CERTなどがIoTデバイスのデフォルトのパスワードを変更するといった対策を促している。