Deutsche Telekom顧客のルータが外部からの攻撃を受けて障害に見舞われた。IoTマルウェア「Mirai」の関与が指摘されている。
ドイツの通信大手Deutsche Telekomは11月28日、同社顧客のルータが外部からの攻撃を受けて障害に見舞われたことを明らかにした。米セキュリティ機関SANS Internet Storm Centerはこの攻撃について、IoTデバイスに感染するマルウェア「Mirai」の関与を指摘している。
Deutsche Telekom顧客の間に障害が広がったのは11月27日頃からだったと伝えられている。同社の説明によれば、ルータにマルウェアを感染させようとする攻撃が失敗し、それが原因で全ルータの4〜5%がクラッシュしたり制限がかかったりして、顧客のサービスに障害が発生した。
同社は影響を受けた顧客に対し、ルータをいったん電源から切り離して再起動するよう促している。ルータのメーカーと連携してソフトウェアアップデートを開発し、影響を受ける全顧客向けに配信しているといい、再起動する過程でこの更新が自動的に適用されると説明。その後は正常に動作するはずであり、マルウェアがルータに常駐することはないとしている。
SANSの研究者は今回の攻撃について、インターネットサービスプロバイダーがモデムを遠隔管理するための標準規格「TR-069」に関する脆弱性が悪用された可能性があると指摘した。ドイツで障害が発生したのと同時期に、TR-069の通信に使われる7547番ポートに対する攻撃の急増が観測されていたという。
TR-069の脆弱性を悪用されてデバイスがMiraiに感染し、「100〜200万台が新しくMiraiのボットネットに追加された可能性がある」と研究者は推測する。
この脆弱性はZyxelが製造したOEMモデムで確認されたほか、D-LinkやMitraStar、Digicom、Aztechなどのメーカーが製造したモデムにも存在すると報告されているという。「現時点で新たに感染したシステムは被害者を増やすためのスキャンにのみ利用されているが、DDoS(分散型サービス妨害)攻撃に使われるのは時間の問題」とSANS研究者は警告している。
Copyright © ITmedia, Inc. All Rights Reserved.