• TOP
  • ニュース一覧
  • Miraiの新しい亜種が登場、特定モデムの検索でトラフィック急増
2017/12/01

Miraiの新しい亜種が登場、特定モデムの検索でトラフィック急増

「Mirai」(「ELF_MIRAIファミリ」として検出)の新しい亜種の急速な拡散がセキュリティリサーチャによって報告されています。11月22日に2323番および23番ポートへのトラフィック(ポートスキャン)の急増が確認されました。これは、先立つ10月31日に、マルウェア「Mirai」(ミライ)のProof-of-concept(概念実証、PoC)型エクスプロイトコードが、脆弱性公開データベースで公開されたことがきっかけと見られています。

「Mirai」は、ルータ、監視カメラ、DVDレコーダー等のIoT機器を乗っ取り、大規模ボットネットを構築して、DDoS攻撃を仕掛けるマルウェアです。IoT機器の初期設定でよく使われているユーザ名・パスワードの組み合わせリストを持っており、脆弱な機器を見つけ出しては感染と拡大を繰り返します。2016年9月に大規模DDoS攻撃を行ったことで、注目を集めるようになり、以降も活動を続けていました。2017年2月からは、Windows PCを踏み台にして感染範囲を拡大する等、その亜種がさまざまな攻撃で利用されています。

参考:ネットワークカメラをボット化する4つのマルウェア、特徴とその最新動向

公開されたPoCエクスプロイトコードは、ZyXEL製の古いモデム「PK5001Z」で確認された脆弱性「CVE-2016-10401」を利用したものでした。ZyXEL製モデムは、米国のISP「CenturyLink」「Qwest」から提供されていましたが、ユーザ名・パスワードとして「admin/CenturyL1nk」「admin/QwestM0dem」が、ハードコードにより機器そのものに組み込まれていました。そのため、機器へのログイン、root権限への昇格、DDoS攻撃を実行するマルウェアのインストール等が容易な状態だったと考えられます。

11月22日に発生したポートスキャンの送信元IPアドレスは、約10万個の固有IPアドレスで、アルゼンチンのISP「Telefonica de Argentina」のネットワークに属していることも報告されました。

Miraiおよび亜種への基本的な対策として、機器の管理者およびユーザは、セキュリティ対策の導入はもちろん、より強固なパスワードに初期設定から変更することが重要です。最新パッチの導入、不審な通信の監視・遮断も有効でしょう。

おすすめの動画

コネクテッドカーのセキュリティリスクとは

運営社情報

セキュリティブログ
is702
PageTop