ニュース

WikipediaやTwitchへのDDoS攻撃観測、DVR機器の脆弱性狙うMirai亜種「moobot」が感染広げる

 9月7日から9日にかけて、Wikipedia、Twitch、Blizzardの各サーバーでDDoS攻撃が観測されており、これがMirai亜種によるボットネットによって引き起こされたことが、株式会社インターネットイニシアティブ(IIJ)のセキュリティチームであるIIJ-SECT(IIJ group Security Coordination Team)の調査で分かった。

 一連の攻撃は、日本時間の9月7日2時40分にWikipediaで始まり、同日12時からTwitch、9月8日3時からBlizzardが標的となった。攻撃に利用されたボットネットは、複数のDVR機器を狙って8月末から感染を拡大していたMirai亜種「moobot」だ。moobotはスキャンする対象ポートと攻撃に利用する脆弱性の違いから3つのタイプが存在している。

タイプ1タイプ2タイプ3
・スキャン対象ポート
TCP:34567
・スキャン対象ポート
TCP:80、81、82、83、85、88、8000、8080、8081、9090
・スキャン対象ポート
TCP:60001
・dvrip プロトコルを利用し、デフォルトのID・パスワードの組み合わせでログインを試行して、コマンドを実行する。コマンド実行によって特定のポートにバックドアを開け、そのポートにサーバーから接続して、ボットのダウンロードおよび感染を行う。・Hisilicon製DVR機器の脆弱性を利用して、機器のモデル番号を取得する。サーバーにレポートされたモデル番号をもとにエクスプロイトを実行すると推定されるが、IIJでは未確認。・JAWS Web Serverの脆弱性を利用してコマンドを実行する。コマンド実行によってシェルスクリプトをダウンロードして実行し、このスクリプトがボットのダウンロード、感染を行う。

 いずれのタイプも共通するC2サーバーに支配されており、今回のDDoS攻撃ではTCPのSYNパケットおよびACKパケットを攻撃対象のIPアドレスに対して大量に送信していた。

 このほか、ボットの感染拡大にはADB(Android Debug Bridge、5555/TCP)やTelnet(9527/TCP)などが利用されていた。これらのポートへは複数のサーバーからの攻撃を観測している。

 ボットに感染しているとみられる送信元IPアドレス数の推移をタイプ別に見ると、8月末から急増し、9月4日をピークに減少に転じる。外部の観測結果なども合わせると、ピーク時点で約4~5万台程度規模で感染していたと推測されている。

「moobot」タイプ別ユニーク送信元アドレス数の推移

 9月1日~14日に観測した送信元IPアドレスの国別分布を見ると、上位5カ国だけで全体の約半数を占めていた。これはボット感染に利用された脆弱性を持つ機器の分布の偏り、あるいは攻撃者が特定の国を狙って感染を拡大させた可能性がある。

「moobot」ユニーク送信元アドレス国別分布(9月1日~9月14日)

 攻撃に利用されたボットネットは、「Stresser」「Booter」などと呼ばれるDDoS攻撃代行サービスの攻撃インフラになっていたことがIIJの調査で分かった。今回のDDoS攻撃では攻撃者がこうしたサービスを契約して仕組んだものと考えられる。

 Twitter上ではこの攻撃を行ったと主張するアカウント(凍結済み)も確認されており、その投稿内容はIIJの観測結果とも整合していた。攻撃の動機は明らかになっていないが、オンラインゲームに関連するサービスを狙う意図があった可能性があるとIIJは推測する。また、Wikipediaを標的にした理由については、一連の攻撃のテストやデモンストレーションとして選定された可能性があるという。

アーカイブサイトでは一部のツイートが確認できる

 脆弱性のあるIoT機器が世界中に大量に存在することから、今回のように短期間で大規模なボットネットを構築し、DDoS攻撃が行われる事例が今後も繰り返し発生する可能性があるとIIJは注意を促している。