ニュース

IoTマルウェア「Mirai」をWindowsから拡散、2017年に入って500システムへの攻撃を確認

 IoTマルウェア「Mirai」の拡散を目的にWindowsで動作するマルウェアについて、トレンドマイクロ株式会社とKaspersky Labが注意を促している。

 Miraiは、Telnetへのログインを試みて、Linuxで動作するルーターやウェブカメラ、DVR、プリンターなどのIoTデバイスに感染するマルウエア。2016年10月には、DNSサービスを提供する米Dynに対して大規模なDDoS攻撃を加え、Amazon.com、Twitter、Netflixなどのサイトで大規模な障害が発生した。

 Mirai単体では、特定範囲のIPアドレスに対してブルートフォース攻撃を行って感染し、ボットネットを拡大するが、トレンドマイクロによれば、今回発見されたMirai拡散マルウェアはWindowsで動作するもの。C&Cサーバーに接続して探索用のIPアドレスリストを受信し、これを探索した後、対象がLinux機器であればMiraiを作成、Windowsであれば自身のコピーを作成するものとなる。

 Windows版のMirai拡散マルウェアは、Miraiが利用するTCP 23(Telnet)に加え、22(SSH)、135(DCE/RPC)、445(Active Directory)、1433(MSSQL)、3306(MySQL)、3389(RDP)の各ポートを標的の探索に利用する。これにより、攻撃対象を可能な限り拡大しているという。

 そして、感染機器でMicrosoft SQL Serverが動作していれば、sysadmin権限を持つデータベースのユーザーとして管理者レベルのアクセス権限を持つ“Mssqla”を作成する。サーバー全体の環境設定オプションの変更、シャットダウン、ログイン情報とプロパティの変更、実行中のプロセス終了、BULK INSERT命令文の実行、データベースの作成・変更・削除・復元が可能となる。現時点での機能は、Miraiの拡散に限られているが、トレンドマイクロでは、今後機能が拡大された場合を懸念している。

 Kaspersky LabのセキュリティリサーチャーによるSECURELIST公式ブログによれば、2017年に入ってすでに500システムへの攻撃が確認されているという。そして、攻撃の第2段階にかかわるIPアドレスの位置情報から、特に攻撃を受けやすい国として、これまでの感染数が最も多いインド、次いでベトナム、サウジアラビア、中国、イラン、ブラジル、モロッコ、トルコ、マラウイなどを挙げている。

 Kaspersky Labでは、Windows版のMirai拡散マルウェアは、Miraiのコードベースより機能が豊富で堅牢であることから、経験豊富な開発者によって開発されたと指摘しているほか、コードがコンパイルされたのが中国語のシステムであること、ホストサーバーが台湾で管理されており、中国企業から窃取された証明書が悪用されていたことから、中国語話者が作者と推定している。

 Kaspersky Labのプリンシパルセキュリティリサーチャーのコート・バウムガートナー氏は「WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態で、その開発者のスキルが高いことも懸念すべき点だ。2016年に公開されたMiraiマルウェアのソースコードは、バンキング型トロイの木馬『Zeus』がソースコードが2011年に公開されたことと同様、何年間にもおよびインターネットに影響を与えるだろう。Windowsボットネットは、新しいデバイスやネットワークにMiraiを拡散できるようになっている。これは始まりにすぎない」と述べている。