3万台以上の大規模botネットがDDoS攻撃を開始 有効な3つの防御策：Cybersecurity Dive

Nokia DeepfieldとGreyNoiseの研究者たちは、botネット「Eleven11bot」が3万台以上のデバイスを含む規模に成長していると警告した。このbotネットはDDoS攻撃に使用されているという。防御に向けた3つの対策を紹介する。

[David Jones，Cybersecurity Dive]

　Nokia DeepfieldとGreyNoiseの研究者たちによると、ハッキングされたセキュリティカメラやネットワークビデオレコーダーを含む3万台のデバイスによって構成される大規模なbotネットが、通信企業やゲームプラットフォームに対するDDoS攻撃に使用されているという。

大規模botネットによるDDoS攻撃が本格化　有効な3つの防御策

　GreyNoiseによると（注1）、「Eleven11bot」として追跡されているこのbotネットは、ログインシステムへのブルートフォース攻撃を実行し、IoTデバイスの脆弱（ぜいじゃく）なパスワードやデフォルトのパスワードを悪用している。

　GreyNoiseによると、観測された1042件のIPアドレスのうち60％以上がイランに由来しているようだ。同社は攻撃に関する責任の所在を公式には明らかにしていないが、トランプ政権がイランに対する制裁を強化し、「最大の圧力」キャンペーンの延長措置を発表した数日後に、これらの攻撃が発生したことを指摘している。

　研究者たちは、このbotネットは持続的に活動しており、大規模に運用されていると警告している。

　Nokia Deepfieldのセキュリティ研究者であるジェローム・マイヤー氏は、「LinkedIn」で次のように記した（注2）。

　「国家が主体となって構成したbotネットを除くと、このbotネットの規模は異例の大きさで、2022年2月のウクライナ侵攻以降に観測されたDDoSbotネットキャンペーンの中でも最も大きいものの一つだ」

　マイヤー氏がLinkedInに投稿した内容によると、このbotネットの攻撃強度は、毎秒当たり数十万パケットから数億パケットの間で変動しているという。

　Censysの研究者は、Eleven11botに関連している可能性のある1400件のIPアドレスをまとめたリストを提供した。GreyNoiseは、過去30日間に1042件のIPアドレスが自社のセンサーにアクセスしていることを確認している。研究者たちによると、これらのデバイスの96％は偽装が不可能なものだという。このことは実際にアクセス可能な正規のデバイスから発信がなされていることを意味している。

　GreyNoiseは、このbotネットがVStarcamを含む特定のカメラブランドを標的にしており、ユーザーによって変更できないハードコードされた認証情報を悪用していると警告した。

　GreyNoiseは、これらの活動に対する防御のために幾つかの対策を推奨している。

• IoTデバイスを保護するために、パスワードを変更し、リモートアクセスを無効化し、ファームウェアを更新する
• 攻撃者はTelnetやSSHの認証情報を総当たりで取得するため、異常なログインがないかネットワークログを監視する
• 既知の悪質なIPアドレスからのトラフィックをブロックする

（注1）New DDoS Botnet Discovered: Over 30,000 Hacked Devices, Majority of Observed Activity Traced to Iran（GREYNOISE）
（注2）Jerome Meyer（LinkedIn）

原文へのリンク