• TOP
  • ニュース一覧
  • ネットワークカメラをボット化する4つのマルウェア、特徴とその最新動向
2017/06/15

ネットワークカメラをボット化する4つのマルウェア、特徴とその最新動向

トレンドマイクロは6月14日、公式ブログで「ネットワークカメラをボット化する『PERSIRAI』拡散と追随するその他のマルウェア」と題する記事を公開しました。4月に新たに発見されたマルウェア「PERSIRAI」(ペルシライ)等の最新動向について分析しています。

同記事では「PERSIRAI」に加え、「DvrHelper」「MIRAI」「TheMoon」という4種類のマルウェアについて解説しています。この4種類のマルウェアは、いずれもネットワークカメラ(IPカメラ)を標的にしていますが、それぞれ異なる特徴を持っています。標的が重なっているため、相手の活動を妨害する手法を採り入れたものまであります。

「PERSIRAI」は「MIRAI」から派生した新種で、OEM生産されたネットワークカメラを踏み台にして「分散型サービス拒否(distributed denial-of-service、DDoS)」攻撃を実行します。影響のあるモデルは1,000以上と見られており、IoT端末機器を対象にしたオンライン検索エンジン「Shodan」では、侵害可能なネットワークカメラ約12万台が確認されています。ネットワークカメラへの侵入後に、既知の脆弱性3つを突いて、他のネットワークカメラへの攻撃を行うのが特徴です。

「DvrHelper」も「MIRAI」の亜種で、セキュリティの強化に対応するために、8つのDDoS攻撃モジュールが追加されています。DDoS対策を回避する機能を備えた初めてのマルウェアと考えられています。具体的には、プロバイダによるチャレンジレスポンス認証に対して、非力なIoT機器に代わって、JavaScriptのコードをC&Cサーバ側で実行し、アンチボット技術を回避します。同様の手法で、reCAPTCHAも回避可能です。

これら2つのマルウェアの元となった「MIRAI」は、2016年8月に初めて確認されました。史上最大規模のDDoS攻撃に利用され、世界的にも注目されました。2016年10月に開発者がソースコードを公開したことで、さまざまな亜種が誕生しています。さらに2017年2月には、従来型よりも多くのポートをスキャンすることで拡散能力を強化した、Windows版MIRAIが確認されています。

「TheMoon」は、IoT機器を狙うマルウェアとしてはMIRAIよりも古く、2014年に初めて検出されました。最近確認された亜種と過去の亜種を比較したところ、C&Cサーバのポート番号が変更されていました。また、ファイアウォールを構築し、自身が感染した機器に他のマルウェアが感染するのを阻止することが判明しています。

Shodanを利用した調査では、米国のネットワークカメラの半数以上が、これら4種類のマルウェアのいずれかに感染していることが確認されました。日本の場合、この数字はさらに高く、64.85%で感染が確認されたとのことです。なお、米国・日本・台湾・韓国における感染機器では、「PERSIRAI」が6割以上と高い割合を占めていました。ただし今後、他の開発者が独自のマルウェアをリリースする等、状況がまったく変化する可能性もあります。

トレンドマイクロでは、ネットワークカメラの所有者に対し、ルータの「Universal Plug and Play(UDP)」を無効にし、ポートを開かないようにすることを推奨しています。



ネットワークカメラを狙うマルウェアのファミリ<br />

ネットワークカメラを狙うマルウェアのファミリ


おすすめの動画

コネクテッドカーのセキュリティリスクとは

運営社情報

セキュリティブログ
is702
PageTop