Miraiはネットワークカメラや家庭用ルーターなどのIoT機器に感染するマルウェアです。警察庁によると、今年上半期のMiraiのボットの特徴を有する通信のアクセス件数は1日・1IPアドレスあたり547.7件で前年同期と比べ81.4件増加したということです。今年に入って脆弱性のある複数の海外製IoT機器へのアクセスが確認されており、IoT機器へのマルウェア感染には引き続き警戒が必要です。
ネットワークカメラやルーターからDDoS攻撃
2016年9月、サイバーセキュリティを専門とするジャーナリストのブライアン・クレブス氏が運営するブログ「Krebs on Security」に大規模なDDoS(分散型サービス妨害)攻撃が行われました。DDoS攻撃は、大量のマシンから特定のサーバーに負荷をかけてサービスを妨害する攻撃です。従来、こうした攻撃はマルウェアに感染したPCなどの端末によって形成されるボットが攻撃者の指令を受けて行われていましたが、Krebs on Securityに対するDDoS攻撃はボット化したネットワークカメラや家庭用ルーターなどインターネットと接続しているIoT機器から大規模な攻撃が仕掛けられていたという点で従来のDDoS攻撃とは様相が異なりました。同様の攻撃はフランスのホスティングプロバイダ―OVH(現OVHcloud)に対してもあり、14万5000台以上のIoT機器から攻撃を受けたということです。
こうした攻撃はいずれもMiraiと呼ばれるマルウェアに感染してボット化したIoT機器によって行われていました。Miraiは、組込みLinuxと軽量UNIXコマンドツールBusyBoxの上に実装されたIoT機器を感染対象にしているマルウェアです。MiraiはIoT機器にデフォルトとして使用されているユーザー名とパスワードの一覧を内包していて、設定がデフォルトのままのログイン可能なIoT機器に感染し、感染すると新たな感染先となるIoT機器を探索して増殖していき、Miraiの感染群であるボットを形成します。Miraiに感染したIoT機器のボットは攻撃者が管理する特定のサーバーと通信をして指示を受け、ターゲットにDDoS攻撃を仕掛けたのです。2016年10月にはアメリカの大手DNSサービスも攻撃を受け、TwitterやNetflixなどのサービスに影響が出ました。
国内のIPアドレスからもアクセスしている
Miraiのソースコードは2016年9月にハッカーフォーラムで公開され、そのため多くの亜種が出回っている状況です。日本国内では2017年11月頃からMiraiの亜種による感染活動が急増したことが確認されており、JPCET/CCや情報通信研究機構、警察庁で継続的な監視活動を行っています。警察庁によると、2017年11月以降、日本国内に割り当てられたIPアドレスを発信元とするIoT機器を標的とした探索行為または感染活動とみられるアクセスを確認しているということですので、日本国内のIoT機器においてもMiraiに感染してボット化している実態があると言えます。
警察庁のインターネット定点観測によれば、2018年11月中旬以降、宛先ポート32764/TCPにMiraiボットからとみられるアクセスの増加を確認しました。このポートは過去のCisco社製ルーター等においてテストインターフェースとして使用されていたもので、このルーターは2014年に脆弱性が公表されていました。アクセスの発信元は台湾が多く、アメリカ、シンガポール、日本からの発信も確認されています。2018年12月以降は宛先ポート37215/TCPに対するアクセスの増加が確認されています。こちらは2017年11月に公表されたファーウェイ製ルーターに関し、リモートから任意のコードが実行可能となる脆弱性を悪用したものです。発信元は日本が多く、他はベトナム、中国、ギリシャ、アメリカなどでした。
警察庁が今年10月に発表した今年上半期のインターネットの脅威情勢によれば、今年上半期のIoT機器の脆弱性を狙ったMiraiボットの特徴を有するアクセス件数は1日・1IPアドレスあたり547.7件、前年同期の466.3件より81.4件増加しました。また、警察庁のインターネット定点観測によると、今年になってグランドストリーム ネットワークス製のオフィス用IP電話機の脆弱性を悪用したアクセスや、台湾のDryTeck製のルーターやインド製GPNルーターの脆弱性を悪用したアクセスなどが認められ、送信元はいずれもIoT機器からと見れられています。インド製GPNルーターへのアクセスではMirai亜種と考えられるプログラムも観測されたということですから、Mirai亜種に感染してボット化した国内外のIoT機器から国内の脆弱性のある海外製IoT機器に対して感染のための探索行動が行われていたものと考えられます。
警察庁では「アクセスの多い宛先ポートに変動が見られたことから、攻撃の標的となるIoT機器が変化したものと考えられる」と今年上半期のIoT機器へのアクセス動向について分析、IoT機器を使用する際はユーザー名、パスワードを初期設定のまま使用することを避け、使用するIoT製品の脆弱性情報に注意し、インターネットに直接接続しないでルーター等を使用して接続するなど総合的なセキュリティ対策を行って使用することをすすめています。
■出典
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_kami_cyber_jousei.pdf
https://www.npa.go.jp/cyberpolice/important/2020/202004281.html
https://www.npa.go.jp/cyberpolice/important/2020/202001301.html
https://www.npa.go.jp/cyberpolice/important/2019/201902011.html
https://www.npa.go.jp/cyberpolice/important/2019/201902011.html