MIRAI

cyber_force_007_r

MIRAIについての報道

”MIRAI”については、IT関連のメディアがこぞって報道し、警戒を促していますが、一般紙でも読売新聞が10月28日、29日と「『IoT乗っ取り』攻撃でツイッターなどがダウン」、「IoT機器悪用、ウイルス『ミライ』世界で猛威」という見出しで、IoT機器を踏み台とするマルウェア「Mirai」について報道していました。

11月3日付け朝日新聞朝刊では「サイバー攻撃、家庭のIOT機器悪用 ルーター販売停止」という見出しで、アイ・オー・データ機器の「Wi―Fiストレージ ポケドラ」の発売停止とともに機器に保存した情報を抜き取られる可能性があるとして、店頭から商品の回収を始めていることを報道していました。ちなみに中国のHangzhou Xiongmaiは、同社の防犯カメラやIPカメラ多数がMIRAIに感染してボットネットのネットワークに加担させられていたとしてリコールをしています。また、カナダのシエラワイヤレス社は、「AirLink」ゲートウェイ製品、特に「LS300」「GX400」「GX/ES440」「GX/ES450」「RV50」はMIRAIに対して無防備な可能性があるとして、デフォルトのアクセス認証情報を変更するよう促しているとのことです。

さらに、同じ11月3日のNHKニュースでは「カメラ乗っ取りサイバー攻撃か」という見出しで、「ツイッター」のつながりにくい状態が5時間余り続いたことやアマゾン・ドット・コムをはじめ複数の会社でサービスが一時利用できなくなったことをとりあげ、その原因がインターネットに接続できる監視カメラなどIoTと呼ばれる機器を乗っ取る新種のウイルスであると伝えていました。

伊本貴士氏(メディアスケッチ 代表取締役 兼 コーデセブン CTO、サートプロ IoT技術講師、IoT検定制度委員会メンバー)は、日経テクノロジーOnlineで、MIRAIについて「・・・これまでIoTの専門家が警告を発していたセキュリティーに関する脅威が現実のものとなってしまった。」と述べておられます。また、トレンドマイクロは、セキュリティブログの中で「・・インフラストラクチャの重要部分を機能停止させ、それに伴い多くの大手サイトが利用不能となったことは、「モノのインターネット(Internet of Things、IoT)」のセキュリティ確保に関する重大な警告となりました。」と述べています。

警察庁の発表

警察庁が10月20日に発表した9月期のインターネット観測の結果においても、「MIRAI」ボットに感染したIoT機器によるスキャン行為で「23/TCP」「2323/TCP」へのアクセスが増加したと考えられると警戒を呼び掛けています。発表では、「MIRAI」ボットは「23/TCP」および「2323/TCP」をスキャンするが、「23/TCP」に対するスキャンは「2323/TCP」に対するスキャンの9倍多く行われるように設定されており、この傾向は、9月期に観測されたデータと一致しているとしています。

cyber_force_006_r(http://www.npa.go.jp/cyberpolice/detect/pdf/20161020.pdf より)

MIRAIによるDDoS攻撃の事例

アメリカのセキュリティ情報サイトの「Krebs on Security」が史上最大級の分散型サービス妨害(DDoS)攻撃を仕掛けられたのは9月下旬です。620Gbpsにも達する分散型サービス妨害(DDoS)攻撃を受けてダウンしたとのことです。MIRAIの作者を名乗る人物は、MIRAIを使って38万台のIoTデバイスからKrebs on Securityを攻撃したと公言しているようです。

同じく9月下旬、フランスのインターネットサービスプロバイダーOVHもMIRAIを使ったDDoS攻撃に見舞われ、トラフィックは少なくとも1Tbps、最大で1.5Tbpsに達したとのことです。

10月21日、DNSサービスを提供する米Dyn社もMIRAIを使ったDDoS攻撃(※1)にあい、NetflixやTwitter、Reddit、Spotify、Gov.UK(英国政府ウェブサイト)などのサービスが断続的に利用できなくなりました。

(※1)DDoS攻撃とは、複数のネットワークに分散する大量のコンピュータを踏み台としてクラッキングし、サーバなどの機器に対して過剰なパケット(データ)を送り付けることで負荷を掛けて機能を停止させてしまう攻撃のことです。

cyber_force_005_r(セコム http://www.secomtrust.net/service/kanshi/dos.html より)

Hackforumsに公開されたマルウェア情報

ハッカーフォーラムHackforums にMiraiのソースコードが掲載され、投稿者は「Anna-senpai」と名乗っています。ソースコードが公開されたことで、関係機関はDDoS攻撃発生のリスクが高まったと組織や個人に対策を呼び掛けていますが、米Level 3 Communicationsは、「ソースコードが公開される以前、Miraiに感染したIoTデバイスは21万3000台だったが、公開後は28万台増えて合計で49万3000台に上っている」と伝えています。また、新たな亜種も次々に出現しているようです。また、最近、IoTデバイスをDDoS攻撃を行うボットに変えてしまう、新種のマルウェア「Linux/IRCTelnet」が出回っていることが明らかになったとの報道もあります。

警察庁では、「ユーザ名とパスワードを推測されにくいものに変更する」「ファイアウォール等によって不必要な外部からのアクセスを遮断する」「特定のIP アドレスのみにアクセスを許可する等の適切なアクセス制限を実施する」「製造元のウェブサイト等で脆弱性情報を確認し、脆弱性がある場合はファームウェアのアップデート等の適切な対策を行う」などの総合的なセキュリティ対策を推奨しています。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です