2018/01/30

IoT機器を狙う「Satori」、新しい亜種は仮想通貨を標的に

トレンドマイクロは1月26日、公式ブログで「仮想通貨『Ether』を発掘するソフトウェア『Claymore』を狙う『Satori』の新しい亜種を確認」と題する記事を公開しました。

それによると1月上旬に、仮想通貨発掘ソフトウェア「Claymore」を乗っ取る、「Satori」の亜種が新たにセキュリティリサーチャにより確認されたとのこと。「Satori」は、IoTボット「Mirai」の後継的存在とされており、2017年12月の攻撃では、12時間で28万個のIPアドレスに影響を与えました。IoT機器の急増にともない、Satoriは重大な影響を及ぼす脅威の1つとなっています。

今回発見された亜種は、仮想通貨発掘ソフトウェア「Claymore」の管理インターフェイスに影響を与える脆弱性を悪用し、端末所有者が使っている設定を書き換え、発掘した仮想通貨を窃取します。元の攻撃コード(エクスプロイトコード)はそのまま保持されていましたが、IoT機器やネットワーク機器は対象外とし、代わりに仮想通貨の発掘ソフトを攻撃するコードが、新たに追加されていました。

具体的には、3333番ポートをスキャンして認証なしで機器にアクセスし、次に、仮想通貨「Ether(ETH)」が攻撃者のウォレットに入るように発掘設定を書き換えます。攻撃者は、乗っ取ったClaymoreを利用して10日間で1010万710ETH(約12万769円)を発掘したと報告されています。

トレンドマイクロでは、こうした脅威を回避するために、以下のような対応を推奨しています。

・機能と使いやすさだけでなくセキュリティとプライバシーの保護を重視している機器を選ぶ
・機器の認証情報を初期設定から変更し不正アクセスの可能性を減らす
・ソフトウェアおよびファームウェアを更新し脆弱性攻撃を防ぐ
・ルータに組み込まれたファイアウォールを有効化しセキュリティ層を追加する

トレンドマイクロの「ウイルスバスター for Home Network」、「Trend Micro Smart Home NetworkTM」は、以下の検出ルールによってこの脅威を検知します。

1134286 WEB Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361)
1134287 WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop