Mirai亜種が国内の最大2万4000ホストに感染、ロジテック製Wi-Fiルーターの脆弱性を悪用

　ロジテック製Wi-Fiルーターの脆弱性を突いたIoTマルウェア「Mirai」亜種の感染活動が国内で10月31日から確認されているとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）や国立研究開発法人情報通信研究機構（NICT）が注意を喚起している。

　JPCERT/CCやNICT、警察庁などの調査によれば、悪用されている脆弱性は「CVE-2014-8361」。国内における感染機器の多くが、複数ISPに接続されたロジテック株式会社のブロードバンドルーターと確認しているとのことだ。

　NICTでは、10月31日ごろからTCPポート23番宛にMiraiの特徴を持ったパケットを送信するホストの増大や、UPnP用インターフェースであるTCPポート52869番に対するスキャンの増加を観測。後者は、Realtek SDKのMiniigdサービスにおけるコマンドインジェクション脆弱性「CVE-2014-8361」を悪用するものとみられるとのこと。

　11月3日には、TCPポート23番宛パケットの送信元となるユニークIPアドレスは約1万6000ホストに達し、一時的に減少したものの、同16日からは再び増加に転じており、最大では約2万4000ホストに達したとのこと。

　また、11月23日ごろからは、TCPポート37215番に対し、TCPポート52869番へのものに類似した攻撃も観測されているという。

　なお、Miraiやその亜種に感染すると、ボットネットに取り込まれ、攻撃者によりリモートから命令を受けて、DDoS攻撃などに悪用される可能性がある。

定点観測システムTSUBAMEにおけるMirai亜種とみられる感染活動に関するスキャン観測状況（2017年10月～12月）

　脆弱性の対象となる製品は、「LAN-WH300N/DR」「LAN-W300N/DR」「LAN-WH300N/DRCV」「LAN-WH300N/DRCY」のファームウェアバージョン「2.14」以前、「LAN-W300N/R」「LAN-W300N/RU2」「LAN-W300N/RS」の同「2.33」以前、「LAN-W300N/P」の同「3.09」以前、「LAN-W300N3L」の同「1.13N3」以前、「LAN-WH300N/DGR」「LAN-WH300N/DGRU」の同1.26以前。

　ただし、いずれも脆弱性を修正したファームウェアが、2013年11月6日から2014年10月15日までの間に公開されている。JPCERT/CCによれば、感染済み機器でも、対策済みファームウェアへアップデートすることで、Mirai亜種が削除されるという。

最新版ファームウェアへのアップデート対象製品

　ロジテックによると、脆弱性の対象となる製品には、ファームウェアの自動アップデート機能が搭載されていない。製品の販売はすでに終了しているとのことだが、市場で流通在庫が販売されているケースも確認できた。

　すでに販売が終了しており、サポートが停止しているため、最新OSであるWindows 10やMac OS X 10.10以降では、ファームウェアアップデートプログラムが公式には対応していない。しかし、ロジテックによれば、zipファイルとして提供しているファームウェアのデータを用い、ルーターの管理画面から手動で更新することが可能だという。