IoTデバイスの脆弱性を突くマルウェア「Wicked」、Miraiの新手の亜種:Netgearのルータが標的に
「Mirai」をベースにした新手のボットネット型マルウェア「Wicked」は、ルータなど特定のIoTデバイスの脆弱性を悪用する。
米セキュリティ機関のSANS Internet Storm Centerは5月21日、IoTデバイスを狙うマルウェア「Mirai」をベースにした新手のボットネット型マルウェアが出回っていると伝えた。
SANSによると、MiraiがIoTデバイスのデフォルトの認証情報を突くなどの手口で感染を広げていたのに対し、新手のボットネット「Wicked」は、特定のIoTデバイスの脆弱性を悪用する手口を使っている。
標的にされているのは、Netgearのルータ「DGN1000」「DGN2200」(8080番ポート)と「R7000」「R6400」(8443番ポート)、CCTV-DVR(81番ポート)、および改ざんされたWebサーバに仕込まれているInvokerシェル(80番ポート)。それぞれのポートをスキャンして、接続が確立されると別のマルウェアを呼び込もうとする。
現時点で、Wickedに感染したデバイスには、「Omni」というボットネットがダウンロードされるという。セキュリティ企業のFortinetによれば、それ以前には「Sora」「Owari」と命名されたボットネットがダウンロードされていたことが分かっており、WickedとSora、Owari、Omniはいずれも同じ人物によって作成されたとFortinetは推定している。
IoTマルウェアのMiraiは2016年に出現して史上最大級の分散型サービス妨害(DDoS)攻撃を引き起こし、その後ソースコードが公開されたことから亜種が続出していた。
Fortinetによると、Miraiに手を加えた亜種は増え続けており、感染したデバイスをプロキシサーバ化したり、仮想通貨の採掘に利用したりする亜種も見つかっているという。
関連記事
- 大規模DDoS攻撃横行の恐れ、IoTマルウェア「Mirai」のソースコード公開で米機関が注意喚起
マルウェア「Mirai」による大規模DDoS攻撃の危険が高まったとして、米US-CERTなどがIoTデバイスのデフォルトのパスワードを変更するといった対策を促している。 - IoTマルウェア「Mirai」の亜種が急拡大、日本でも感染か?
ZyXEL製モデムの脆弱性などを悪用するトラフィックは、アルゼンチンを中心に、日本の大手通信事業者やプロバイダーのIPアドレスも検知されている。 - IoTマルウェア「Mirai」に新たな亜種、Windowsに感染して拡散攻撃
IoT機器をボット化してしまうマルウェアの「Mirai」の新たな亜種は、感染したWindowsマシンを踏み台にして、ボット化できるIoT機器を探索できてしまうという。 - Miraiが露呈するIoT機器の危うい現状、総括報告書で指摘
史上最大級のDDoS攻撃を発生させたIoTマルウェア「Mirai」は、セキュリティが手薄なIoTデバイスのエコシステムのもろさを浮き彫りにした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.