IoT感染マルウェア、「ミライ」と「ハジメ」が勢力争い
HajimeはMiraiによく似ているものの、DDoS攻撃を仕掛ける機能はなく、10分ごとに表示するメッセージでは、「善意のハッカー」を名乗っているという。
IoT機器に感染して大規模な分散型サービス妨害(DDoS)を発生させているマルウェア「Mirai」が、「Hajime」と呼ばれる後発のIoTマルウェアとの間で勢力争いを展開しているという。Hajimeは「善意のハッカー」を名乗っているものの、作者の真意は分かっていない。
Miraiは2016年9月に出現し、セキュリティ対策の手薄なIoT機器を踏み台にした史上最大級といわれるDDoS攻撃に利用された。作者の「Anna-senpai」は、その後Miraiのソースコードを公開し、同様の攻撃が相次ぐ原因となっていた。
セキュリティ企業のRapidity Networksは同年10月、やはりIoT機器に感染する新手のマルウェアを発見。Miraiによく似ていたことから、日本語を使ってHajimeと命名した。Hajimeは中央の制御サーバを使わず、分散型のP2Pネットワークを使って感染させた機器に設定情報やアップデートを送信する点が、Miraiとは異なるという。
米Symantecは4月18日のブログで、Hajimeが世界各国で急速に拡散していると伝えた。P2Pネットワークの規模は「控え目に見積もっても数万の単位」としている。感染が確認された国はブラジルやイランが筆頭に挙がっているが、現時点で日本は上位10カ国には入っていない。
HajimeにはDDoS攻撃を仕掛ける機能はなく、増殖モジュール以外の攻撃コードも持たない。10分ごとに表示するメッセージでは、「Just a white hat, securing some systems」(システム保護をめざす、善意のハッカー)を名乗っているという。
ただし「Hajimeがモジュール設計であることを踏まえると、作成者の意図が変われば、感染したデバイスから大規模なボットネットを作り上げることも可能」だとSymantecは指摘する。IoT機器は再起動すれば元の状態に戻ることから、ファームウェアの更新で対処しない限り、根本的な問題は解決されない。Symantecでは、マルウェア感染を防ぐためにデフォルトのログイン情報は必ず変更し、ファームウェアの更新がないかどうか、メーカーのWebサイトを定期的にチェックするなどの対策を呼び掛けている。
関連記事
- 史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用
ルータや防犯カメラといったIoTデバイスに感染してボットネットを形成し、DDoS攻撃を仕掛けるマルウェアのソースコードが公開された。 - セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも
米セキュリティ情報サイトの「Krebs on Security」に対する攻撃は665Gbpsに達し、フランスのOVHは1Tbps近いDDoSに見舞われたと伝えた。 - マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現
史上最大級のDDoS攻撃を引き起こしたマルウェア「Mirai」に感染するIoTデバイスが急増し、Miraiの亜種も次々に出現しているという。 - IoTマルウェア「Mirai」のボット化作戦進行中? 警察庁が警戒呼び掛け
マルウェア「Mirai」およびその亜種からとみられるアクセスの急増が観測された。デジタルビデオレコーダーをボット化する可能性があるという。 - 大規模DDoS攻撃横行の恐れ、IoTマルウェア「Mirai」のソースコード公開で米機関が注意喚起
マルウェア「Mirai」による大規模DDoS攻撃の危険が高まったとして、米US-CERTなどがIoTデバイスのデフォルトのパスワードを変更するといった対策を促している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.