古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

IoTマルウェア「Mirai」のボット化作戦進行中? 警察庁が警戒呼び掛け

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/01/24
IoTマルウェア「Mirai」のボット化作戦進行中? 警察庁が警戒呼び掛け: あて先がポート37777/TCPおよび23231/TCPに対するアクセスによる感染活動のイメージ(警察庁資料より) © ITmedia エンタープライズ 提供 あて先がポート37777/TCPおよび23231/TCPに対するアクセスによる感染活動のイメージ(警察庁資料より)

 警察庁が、IoTマルウェア「Mirai」とその亜種によるとみられる感染活動への警戒を呼び掛けている。2016年12月に、デジタルビデオレコーダー(DVR)標的にしたとみられる不審なアクセスが多数観測されている。

 同庁によると、インターネット定点観測システムで同月10日頃から、主にDVRが使うポート37777/TCPに対するアクセスが急増。アクセスには、JSON形式によるポートマッピングの設定が含まれ、インターネット側からポート23231/TCPに対するアクセスが機器内のポート23/TCPに接続するように変更されてしまう恐れがあるという。

 さらに21日以降は、23231/TCPの開放状況を確認することが目的とみられるアクセスが大幅に増加した。警察庁がこのアクセスに応答すると、Telnetにログインしてコマンド実行を試みるアクセスが発生し、この特徴がMiraiやその亜種で使用されるコマンドに類似していた。MiraiがTelnet探索時に送信するパケットに、TCPシーケンスの番号があて先のIPアドレスと一致する特徴があり、23231/TCPに対するアクセスの99%以上、37777/TCPに対するアクセスの80%以上でこの特徴が観測された。

 また18日以降に、ポート6789/TCPへのアクセスが増加。アクセス内容からは、LinuxなどのBusyBoxコマンドを使ってポート19058/TCPでバックドアを構築する狙いが疑われ、Miraiやその亜種が使うコマンドに類似していた。同時期に19058/TCPへのアクセスも少数ながら観測された。6789/TCPへのアクセスの発信元の多くが、19058/TCPにもアクセス可能な状態であることが分かり、警察庁では19058/TCPでバックドアを構築されてしまっている機器が存在するとみている。

 Miraiは、IoT機器への感染を広げると同時に、感染先の機器を遠隔操作できるようにしてしまうのが特徴。2016年夏には、観測史上最大級とみられるDDoS(分散型サービス)攻撃が発生し、Miraiに感染した機器群のボットネットが実行したとされる。その後にMiraiのソースコードがインターネット上で公開された。これをもとに多数の亜種が開発され、感染を広げているとみられている。

 警察庁は、対策として(1)初期設定のユーザー名とパスワードを使わず推測しにくいものに変更する、(2)IoT機器を直接インターネットにつなげずファイアウォールなどで遮断したり制限したりする、(3)機器製造元の情報などを確認してファームウェア更新などを実施する、(4)不要ならルータなどのUPnP機能を無効にする――方法の実施を呼び掛けている。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon