【活用ガイド】

JVNDB-2016-009751

Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

概要

近年、IoT 機器を使用した大規模なボットネットが構築され、分散型サービス運用妨害 (DDoS) 攻撃に使用されています。システムやネットワークの保護のために、IoT 機器および接続されているハードウェアを保護することが重要です。

2016 年 9 月 20 日、Krebs on Security が最大で 620Gbps を超える大規模な DDoS 攻撃を受けました 。この DDoS 攻撃は、Mirai と呼ばれるマルウェアに感染した IoT 機器によって構築されたボットネットから行われました。Mirai は、脆弱な IoT 機器を定期的にスキャンして感染し、ボットネットに取り込みます。Mirai は初期設定で使われることの多いユーザ名・パスワードの組み合わせ 62 組からなるリストを使用して、脆弱な機器をスキャンします。多くの IoT 機器は保護が全くされていない、または不十分なため、この短いリストでも数十万の機器へのアクセスが可能になります。Mirai の作者を名乗る人物によると、38 万を超える IoT 機器が Mirai に感染し、Krebs on Security に対する攻撃に使用されたとのことです。

9 月下旬には、フランスのウェブホスト OVH に対して、Mirai を使用した最大で 1.5Tbps にもなる DDoS 攻撃が行われました。

Mirai の影響を受けた IoT 機器は主に、家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダでした。9 月末には Mirai のソースコードが公開されたため、他の DDoS 攻撃に広く使用される可能性があります。

10 月初旬、Krebs on Security は、IoT ボットネットによる攻撃を引き起こす、Mirai とは別系統のマルウェアについて言及しています。この別系統のマルウェアはまだソースコードが明らかになっていませんが、Bashlite と呼ばれています。Bashlite も Mirai 同様、初期設定で使われることの多いユーザ名・パスワードを使用してシステムに感染します。セキュリティ企業 Level 3 Communications は、Bashlite に感染したおよそ 100 万もの IoT 機器からなるボットネットが構築されている可能性があると述べています。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム

 * プリンタ、ルータ、ビデオカメラ、スマート TV など、インターネット経由でデータの送受信を行う IoT 機器

(複数のベンダ)
  • (複数の製品)

想定される影響

Mirai のソースコードがインターネット上に公開されたことで、今後より多くのボットネットが構築され、DDoS 攻撃が行われる可能性があります。Mirai および Bashlite はともに、認証情報が初期設定のままで使用されている IoT 機器に容易に感染します。このようなボットネットによって組織の通信が著しく侵害されたり、大きな金銭的被害を受けたりする可能性があります。
対策

DDoS 攻撃への対策を行ってください。DDoS 攻撃に関する更なる情報は、US-CERT の DDoS Quick Guide (PDF) や、US-CERT Alert (TA14-017A) をご確認ください。

[感染した機器への対応]
感染した IoT 機器から Mirai を駆除するために、機器の管理者およびユーザは、次の対応を実施してください。


  1. 機器をネットワークから切り離す

  2. ネットワークから切り離したまま、機器を再起動する (Mirai はメモリにのみ存在するため、機器を再起動することで削除されます)

  3. 機器のパスワードを初期設定から強固なパスワードに変更する (強固なパスワードについて詳しくは US-CERT Security Tip (ST04-002) をご確認ください)

  4. 強固なパスワードに変更されているのを確認してから、ネットワークに再接続する (パスワードを変更せずに再接続すると、またすぐに Mirai に感染してしまいます)



[感染を防ぐための回避策]
マルウェア感染から IoT 機器を保護するために、機器の管理者およびユーザは、次の対策の実施を検討してください。

  • 初期設定のパスワードから強固なパスワードに変更し、変更が反映されていることを確認する

  • 常に最新のパッチを適用する

  • どうしても必要な状況でない限り UPnP (ユニバーサルプラグアンドプレイ) 機能を無効化する

  • セキュリティ上安全であることに定評がある開発者の製品を使用する

  • 家庭や職場で使用されている機器の機能を理解する。パスワードは初期設定から変更し、信頼できない Wi-Fi は使用しない

  • 個人で使用するすべての医療機器の機能を理解する (データの送受信や遠隔操作が可能な機器はマルウェアに感染する可能性があります)

  • 2323/TCP および 23/TCP を監視する (これらのポートを使って、IoT 機器に Telnet 接続する事例が報告されています)

  • 48101 番ポート宛ての不審な通信を監視する (感染した機器は、定期的に 48101 番ポートを使用して通信を行います)



ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNTA#95530271
  2. US-CERT Technical Cyber Security Alert : TA14-017A
  3. US-CERT Security Tip : Choosing and Protecting Passwords
  4. ICS-CERT ALERT : ICS-ALERT-16-286-01
  5. 関連文書 : KrebsOnSecurity Hit With Record DDoS
  6. 関連文書 : Mirai “internet of things” malware from Krebs DDoS attack goes open source
  7. 関連文書 : Smart device malware behind record DDoS attack is now available to all hackers
  8. 関連文書 : Record-breaking DDoS reportedly delivered by >145k hacked cameras
  9. 関連文書 : IoT DDoS Attack Code Released
  10. 関連文書 : Source Code for IoT Botnet ‘Mirai’ Released
  11. 関連文書 : DDoS Quick Guide
  12. 関連文書 : What is happening on 2323/TCP?
更新履歴

  • [2024年09月11日]
      掲載

公表日2016/11/04
登録日2024/09/11
最終更新日2024/09/11