Mirai、攻撃の矛先を企業へ

2019年4月1日

先日、新しいバージョンのMiraiに関する記事を目にしました(英語記事)。MiraiとはIoTデバイスを標的にした自己増殖型のボットネットで、2016年にはDynのサーバーに対して大規模なDDoS攻撃を仕掛けています。記事によると、Miraiはさらに多くのエクスプロイトを組み込み、危険性と拡散速度が上がっています。さらに厄介なことに、この新型Miraiは通常の標的(ルーター、IPカメラなどの「スマート」デバイス)だけではなく、企業向けIoTデバイスも狙っています。

この事態は、さほど驚くことではありません。Miraiのソースコードはすでに公開されており、十分なプログラミング能力を持っている人間なら、ほぼ誰でもこのマルウェアを使用できる状況にあります。そうした事情で、Securelistに掲載の2018年第4四半期DDoSレポート(英語)では、Miraiの名前があちこちに登場しています。当社のIoT脅威レポート最新版(英語)によれば、IoTデバイス感染の21%にMiraiマルウェアの変種が関与しています。

Miraiのコードは非常に柔軟で応用が利くので、新しいエクスプロイトを再装備して攻撃範囲を広げることも簡単にできます。今回の件はまさにこれでした。ルーター、アクセスポイント、ADSLモデム、ネットワークカメラなどおなじみの標的を狙った新しいエクスプロイトに加え、高性能ワイヤレスコントローラー、デジタルサイネージシステム、ワイヤレスプレゼンテーションシステムといった企業向けデバイスにも感染可能となっています。

Palo Alto Networksのアナリストによると(英語記事)、新型Miraiの標的となり得るのは次のデバイスです。

  • AWIND wePresent WiPG-1000(ワイヤレスプレゼンテーションシステム)
  • LG SuperSign TV(デジタルサイネージシステム)
  • D-Link DCS-930L(ネットワークビデオカメラ)
  • D-Link DIR-645、DIR-815(ルーター)
  • ZyXEL P660HN-T(ルーター)
  • Netgear WG102、WG103、WN604、WNDAP350、WNDAP360、WNAP320、WNAP210、WNDAP660、WNDAP620(ワイヤレスアクセスポイント)
  • Netgear DGN2200 N300 Wireless ADSL2+(モデムルーター)
  • Netgear Prosafe WC9500、WC7600、WC7520(ワイヤレスコントローラー)

話はこれで終わりません。当社のエキスパートはMiraiの新たな波がやってくると予測しており、産業用IoTデバイスにも影響が及ぶ可能性があると見ています。

デバイスを保護するには

企業内デバイスがMiraiボットネットによる被害を受けないようにする対策として、当社のセキュリティリサーチャー、ヴィクトル・チェビシェフ(Victor Chebyshev)は以下を勧めています。

  • パッチやファームウェアの更新プログラムが公開されたら、すぐにすべてのデバイスおよびシステムにインストールする。
  • 個々のデバイスからのトラフィック量を監視する。感染したデバイスはトラフィック量が大幅に増加します。
  • 工場出荷時のパスワードは必ず変更する。また、効果的なパスワードポリシーを従業員に徹底する。
  • デバイスが不審な動作をしていると思ったら、再起動する。ただし、これで既存のマルウェアを駆除できたとしても、これだけでは今後の感染リスクを下げることはできません。ご注意ください。

Kaspersky IoT脅威データフィード

IoT関連の最新の脅威から企業を保護するため、Kaspersky Labは、IoTの脅威に関するデータのみを集めた新しいインテリジェンスデータフィードを公開しました。現時点で8,000を超えるレコードが登録されており、1時間おきに更新されています。このフィードは、ルーター、Webゲートウェイ、スマートシステム、個々のIoT製品に実装可能であり、総合的な脅威インテリジェンスソリューションの一部としての活用も可能です。

フィードには、当社の調査チームやアナリストからの情報のほか、保護されていないIoTデバイスを模したハニーポットなどの各種トラップによって収集されたデータが含まれます。詳細情報およびお問い合わせに関しては、Kaspersky IoT Threat Data FeedのWebページをご覧ください。