Qratorは一連の攻撃に使われた新種のボットネットを、ラトビア語で「疫病」を意味する「Meris」と命名した。Merisは2021年6月に浮上したボットネットで、ラトビアのIoT機器メーカーMikroTik製のルーターを操って、攻撃用のネットワークを構築しているという。
悪用されたルーターは脆弱性を突かれてMerisに感染したと思われる。Merisに乗っ取られたデバイスはQratorの推計で25万台に上っているが、脆弱性の詳細は分かっていない。「脆弱性は大規模攻撃の開始まで秘密にされていたか、闇市場で売り出されていたと思われる」とQratorは推測し、過去数週間の間にニュージーランドや米国、ロシアで発生した大規模攻撃も、Merisが原因だったとみている。
Merisのようなボットネットに制御されるIoT機器の問題についてクレブズ氏は、「セキュリティを念頭に設計されておらず、デフォルトで安全ではない状態で出荷されるホワイトレーベルIoTデバイスを製造する企業の多さ」を指摘する。この種のデバイスはセキュアな製品に比べて大幅に安いという事情もあり、状況は5年前も今もほとんど変わっていないという。
一方で、AkamaiやCloudflare、Googleといったインターネットインフラ大手は大規模DDoS対策強化のために多額の資金を投じているともクレブズ氏は指摘する。実際に、CloudflareもQratorも今回の大規模攻撃を封じ込めたと強調した。ただ、Merisは今も増大を続けており、今後はパスワード総当たりのブルートフォース攻撃を通じてさらに勢力を増す可能性もあるとQratorは警告する。
そうした攻撃に悪用されないための対策としてQratorやCloudflareは、ルーターやモデム、スマートカメラなどネットに接続されたIoTデバイスについてはデフォルトのユーザー名とパスワードを変更し、常にファームウェアを最新の状態に更新するように呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR