IoTマルウェア「Mirai」の亜種が急拡大、日本でも感染か？

ZyXEL製モデムの脆弱性などを悪用するトラフィックは、アルゼンチンを中心に、日本の大手通信事業者やプロバイダーのIPアドレスも検知されている。

[鈴木聖子，ITmedia]

IoTマルウェア「Mirai」の新しい亜種が出現したと、中国のセキュリティ企業Qihoo 360が報告した

　1年前に大規模サイバー攻撃を引き起こしたIoTマルウェア「Mirai」の新しい亜種が出現し、急激に感染を広げているという。中国のセキュリティ企業Qihoo 360が11月24日のブログで報告した。

　Qihoo 360によると、11月22日以来、2323番ポートと23番ポートでスキャントラフィックが急増した。Qihoo 360が傍受したトラフィックでは、「admin/CentryL1nk」「admin/QwestM0dem」という2つの認証情報が使われていることが判明したという。

　これに先立って10月下旬には、ZyXEL製のモデム「PK5001Z」にパスワードがハードコーディングされている脆弱性が発覚。脆弱性の悪用情報を収録したExploit Databaseによれば、「admin」のユーザー名と「CentryL1nk」のパスワードの組み合わせは、この脆弱性を突く攻撃に使われていた。

　スキャントラフィックのIPアドレスはアルゼンチンが大部分を占めることから、アルゼンチンで使われている特定のIoTデバイスに感染が集中しているとQihoo 360は推測する。

スキャントラフィックのIPアドレスはアルゼンチンが大部分を占めているという（出典：Qihoo 360）

　同社が運営するDDoS攻撃監視システムのScanMonでは、アルゼンチン以外にも、日本の大手通信事業者やプロバイダーのIPアドレスも検知されている。

　MiraiはIoT機器に感染してボットネットを形成し、狙った標的にDDoS攻撃を仕掛けるマルウェア。2016年9月に発生した大規模攻撃に利用され、その後ソースコードが公開されたことから、亜種の出現が相次いでいる。