IoT感染マルウェア、「ミライ」と「ハジメ」が勢力争い

HajimeはMiraiによく似ているものの、DDoS攻撃を仕掛ける機能はなく、10分ごとに表示するメッセージでは、「善意のハッカー」を名乗っているという。

» 2017年04月24日 08時15分 公開
[鈴木聖子ITmedia]
Mirai vs. Hajime

 IoT機器に感染して大規模な分散型サービス妨害(DDoS)を発生させているマルウェア「Mirai」が、「Hajime」と呼ばれる後発のIoTマルウェアとの間で勢力争いを展開しているという。Hajimeは「善意のハッカー」を名乗っているものの、作者の真意は分かっていない。

 Miraiは2016年9月に出現し、セキュリティ対策の手薄なIoT機器を踏み台にした史上最大級といわれるDDoS攻撃に利用された。作者の「Anna-senpai」は、その後Miraiのソースコードを公開し、同様の攻撃が相次ぐ原因となっていた。

Hajime Hajimeについての分析レポートが公開されている

 セキュリティ企業のRapidity Networksは同年10月、やはりIoT機器に感染する新手のマルウェアを発見。Miraiによく似ていたことから、日本語を使ってHajimeと命名した。Hajimeは中央の制御サーバを使わず、分散型のP2Pネットワークを使って感染させた機器に設定情報やアップデートを送信する点が、Miraiとは異なるという。

 米Symantecは4月18日のブログで、Hajimeが世界各国で急速に拡散していると伝えた。P2Pネットワークの規模は「控え目に見積もっても数万の単位」としている。感染が確認された国はブラジルやイランが筆頭に挙がっているが、現時点で日本は上位10カ国には入っていない。

 HajimeにはDDoS攻撃を仕掛ける機能はなく、増殖モジュール以外の攻撃コードも持たない。10分ごとに表示するメッセージでは、「Just a white hat, securing some systems」(システム保護をめざす、善意のハッカー)を名乗っているという。

 ただし「Hajimeがモジュール設計であることを踏まえると、作成者の意図が変われば、感染したデバイスから大規模なボットネットを作り上げることも可能」だとSymantecは指摘する。IoT機器は再起動すれば元の状態に戻ることから、ファームウェアの更新で対処しない限り、根本的な問題は解決されない。Symantecでは、マルウェア感染を防ぐためにデフォルトのログイン情報は必ず変更し、ファームウェアの更新がないかどうか、メーカーのWebサイトを定期的にチェックするなどの対策を呼び掛けている。

Mirai vs. Hajime Hajimeについて伝えるSymantecのブログ

Copyright © ITmedia, Inc. All Rights Reserved.