JVNTA#95530271: Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威
公開日:2016/11/04 最終更新日:2016/11/04

JVNTA#95530271
Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

概要

近年、IoT 機器を使用した大規模なボットネットが構築され、分散型サービス運用妨害 (DDoS) 攻撃に使用されています。システムやネットワークの保護のために、IoT 機器および接続されているハードウェアを保護することが重要です。

影響を受けるシステム

  • プリンタ、ルータ、ビデオカメラ、スマート TV など、インターネット経由でデータの送受信を行う IoT 機器

詳細情報

2016年9月20日、Krebs on Security が最大で 620Gbps を超える大規模な DDoS 攻撃を受けました。この DDoS 攻撃は、Mirai と呼ばれるマルウェアに感染した IoT 機器によって構築されたボットネットから行われました。Mirai は、脆弱な IoT 機器を定期的にスキャンして感染し、ボットネットに取り込みます。Mirai は初期設定で使われることの多いユーザ名・パスワードの組み合わせ 62組からなるリストを使用して、脆弱な機器をスキャンします。多くの IoT 機器は保護が全くされていない、または不十分なため、この短いリストでも数十万の機器へのアクセスが可能になります。Mirai の作者を名乗る人物によると、38万を超える IoT 機器が Mirai に感染し、Krebs on Security に対する攻撃に使用されたとのことです。

9月下旬には、フランスのウェブホスト OVH に対して、Mirai を使用した最大で 1.5Tbps にもなる DDoS 攻撃が行われました。

Mirai の影響を受けた IoT 機器は主に、家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダでした。9月末には Mirai のソースコードが公開されたため、他の DDoS 攻撃に広く使用される可能性があります。

10月初旬、Krebs on Security は、IoT ボットネットによる攻撃を引き起こす、Mirai とは別系統のマルウェアについて言及しています。この別系統のマルウェアはまだソースコードが明らかになっていませんが、Bashlite と呼ばれています。Bashlite も Mirai 同様、初期設定で使われることの多いユーザ名・パスワードを使用してシステムに感染します。セキュリティ企業 Level 3 Communications は、Bashlite に感染したおよそ 100万もの IoT 機器からなるボットネットが構築されている可能性があると述べています。

想定される影響

Mirai のソースコードがインターネット上に公開されたことで、今後より多くのボットネットが構築され、DDoS 攻撃が行われる可能性があります。Mirai および Bashlite はともに、認証情報が初期設定のままで使用されている IoT 機器に容易に感染します。このようなボットネットによって組織の通信が著しく侵害されたり、大きな金銭的被害を受けたりする可能性があります。

対策方法

DDoS 攻撃への対策を行ってください。DDoS 攻撃に関する更なる情報は、US-CERT の DDoS Quick Guide (PDF) や、US-CERT Alert (TA14-017A) をご確認ください。

感染した機器への対応
感染した IoT 機器から Mirai を駆除するために、機器の管理者およびユーザは、次の対応を実施してください。

  1. 機器をネットワークから切り離す
  2. ネットワークから切り離したまま、機器を再起動する (Mirai はメモリにのみ存在するため、機器を再起動することで削除されます)
  3. 機器のパスワードを初期設定から強固なパスワードに変更する (強固なパスワードについて詳しくは US-CERT Security Tip (ST04-002) をご確認ください)
  4. 強固なパスワードに変更されているのを確認してから、ネットワークに再接続する (パスワードを変更せずに再接続すると、またすぐに Mirai に感染してしまいます)
感染を防ぐための回避策
マルウェア感染から IoT 機器を保護するために、機器の管理者およびユーザは、次の対策の実施を検討してください。
  • 初期設定のパスワードから強固なパスワードに変更し、変更が反映されていることを確認する
  • 常に最新のパッチを適用する
  • どうしても必要な状況でない限り UPnP (ユニバーサルプラグアンドプレイ) 機能を無効化する
  • セキュリティ上安全であることに定評がある開発者の製品を使用する
  • 家庭や職場で使用されている機器の機能を理解する。パスワードは初期設定から変更し、信頼できない Wi-Fi は使用しない
  • 個人で使用するすべての医療機器の機能を理解する (データの送受信や遠隔操作が可能な機器はマルウェアに感染する可能性があります)
  • 2323/TCP および 23/TCP を監視する (これらのポートを使って、IoT 機器に Telnet 接続する事例が報告されています)
  • 48101番ポート宛ての不審な通信を監視する (感染した機器は、定期的に 48101番ポートを使用して通信を行います)

ベンダ情報

参考情報

  1. Krebs on Security
    KrebsOnSecurity Hit With Record DDoS
  2. Naked Security
    Mirai “internet of things” malware from Krebs DDoS attack goes open source
  3. PCWorld
    Smart device malware behind record DDoS attack is now available to all hackers
  4. Ars Technica
    Record-breaking DDoS reportedly delivered by >145k hacked cameras
  5. Dark Reading
    IoT DDoS Attack Code Released
  6. Krebs on Security
    Source Code for IoT Botnet ‘Mirai’ Released
  7. Beyond Bandwidth
    Attack of Things!
  8. ICS-CERT Alert (ICS-ALERT-16-286-01)
    Sierra Wireless Mitigations Against Mirai Malware
  9. US-CERT
    DDoS Quick Guide
  10. US-CERT Alert (TA14-017A)
    UDP-Based Amplification Attacks
  11. US-CERT Security Tip (ST04-002)
    Choosing and Protecting Passwords
  12. SANS ISC InfoSec Forums
    What is happening on 2323/TCP?

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert (TA16-288A)
Heightened DDoS Threat Posed by Mirai and Other Botnets
CPNI Advisory
TRnotes
CVE
JVN iPedia