セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

大規模ボットネットの種は身近に


画像:Check Point Research

ボットと化したカメラ

10月19日、兵庫県芦屋市のとあるカメラがマルウェアに感染していることがCheck Point社により報告されました。このカメラは海外へ通信を行い更なる感染端末を見つけようとしていました。感染端末が次々に感染を拡大させていく仕組みにより、このマルウェアによるボットネットが急拡大していることが確認されたのです。
ネットワークカメラや録画装置を中心に狙うこのマルウェアは、Check Point社によって「IoTroop」と名づけられました。(別名として、中国のQihoo 360社は「IoT_reaper」と命名しています。)

Miraiの話

ところで、「Mirai」マルウェアをご存知でしょうか。このマルウェアの存在が、今回のIoTroopでも大きな役割を果たしています。
そこでまずは「Mirai」マルウェアについて触れたいと思います。

「Mirai」が話題となったのは、2016年9月にセキュリティ情報サイト「Krebs on Security」が見舞われた大規模なDDoS攻撃です。665Gbpsという規模のDDoS攻撃が行われ、同サイトをホスティングしていたAkamaiは最終的に公開を停止せざるを得なくなるほどでした。その後、別のWebサイトでは1Tbps以上のDDoS攻撃も伝えられました。

大規模なボットネットは大規模なDDoS攻撃を生み、それだけ影響範囲も広がります。
Miraiボットネットによる一連のDDoS攻撃ではTwitterやNetflix、更にはイギリス政府のウェブサイトまでが被害に遭いました

Miraiのソースコードが公開されたこともあり、その動作については既に多くの分析がなされています。
感染、及び感染拡大の動作を大まかに解説すると、

1. ランダムなIPアドレスで感染先を探す。
2. ありがちなIDとパスワードの組み合わせを利用した辞書攻撃により端末を感染させる。
3. 感染端末自身もランダムなIPアドレスを生成し、telnet接続で再び辞書攻撃を行う。
4. 辞書攻撃に成功すればレポートサーバーに情報を送信、それを受け別サーバーがダウンローダーを頒布。

となります。

感染機器はC&Cサーバーからの指示により、UDPフラッド、SYNフラッドやDNSリゾルバフラッドなどの様々な攻撃を行います。
このボットネットの規模が非常に大きかったことにより、大規模なDDoS攻撃が可能となったのです。

Miraiのコードを使いつつより洗練を図ったIoTroop

そして今回、新たなIoT向けマルウェアである「IoTroop」が観測されました。
IoTroopに感染すると、Miraiと同様の初期ステップ(システム側による再起動を防止する、プロセス名を隠す、など)を実行します。Miraiはその後辞書攻撃による感染拡大を図りましたが、IoTroopは違った動きを見せます。

1. TCP23番のtelnetプロセス、更に他のIoTマルウェアが使う特定の文字列を含むプロセスをkillし、競合するマルウェアを排除する。
2. ランダムIPを生成し、そのIPに対して脆弱性スキャンを実行する。
3. 脆弱性スキャンの結果をレポートサーバーへ送信。それを受け別サーバーがダウンローダーを頒布。


画像:Check Point Research

このように、辞書攻撃の代わりに脆弱性スキャン機能を採用し、効率的に感染拡大できるよう洗練されています。
ちなみに、初期ステップやランダムIPを生成するコードがMiraiと同じではありますが、前回にも触れたとおりMiraiのソースコードは一般公開されています。その為Miraiの作者との関連を示す証拠とはなりません。

「まだ」実害は出ていない

現在のところ、IoTroopによる実際の攻撃は確認されていません。また解析した結果IoTroopがDDoS攻撃の機能を持っていないことも判明しています。
だからと言って安心はできません。今後C&Cサーバーによって攻撃モジュールがダウンロードされる可能性がありえるからです。
既に200万台以上が感染しているとも言われ、ボットネットの拡大が急速に進んでいると見られます。

IoTroopへの対処法

下記リストは、IoTroopの感染対象の脆弱性リストです。

ベンダー 脆弱性
GoAhead Wireless IP Camera (P2P) WIFICAM Cameras Information Disclosure
Wireless IP Camera (P2P) WIFICAM Cameras Remote Code Execution
D-Link D-Link 850L Router Remote Code Execution
D-Link DIR800 Series Router Remote Code Execution
D-Link DIR800 Series Router Information Disclosure
D-Link 850L Router Remote Unauthenticated Information Disclosure
D-Link 850L Router Cookie Overflow Remote Code Execution
Dlink IP Camera Video Stream Authentication Bypass Ver2
Dlink IP Camera Luminance Information Disclosure Ver2
D-Link DIR-600/300 Router Unauthenticated Remote Command Execution
Dlink IP Camera Authenticated Arbitrary Command Execution Ver2
TP-Link TP-Link Wireless Lite N Access Point Directory Traversal
TP-LINK WR1043N Multiple Cross-Site Request Forgery
NETGEAR Netgear DGN Unauthenticated Command ExecutionZ
Netgear ReadyNAS Remote Command Execution
Netgear DGN2200 dnslookup.cgi Command Injection
Netgear ProSAFE NMS300 fileUpload.do Arbitrary File Upload
NETGEAR Routers Authentication Bypass
NETGEAR ReadyNAS np_handler Code Execution
Netgear R7000 and R6400 cgi-bin Command Injection
AVTECH AVTECH Devices Multiple Vulnerabilities
MikroTik MikroTik RouterOS SNMP Security Bypass
MikroTik RouterOS Admin Password Change
Mikrotik Router Remote Denial Of Service
Linksys Belkin Linksys WRT110 Remote Command Execution Ver2
Linksys WRH54G HTTP Management Interface DoS Code Execution Ver2
Belkin Linksys WRT110 Remote Command Execution
Belkin Linksys Multiple Products Directory Traversal
Belkin Linksys E1500/E2500 Remote Command Execution
Cisco Linksys PlayerPT ActiveX Control Buffer Overflow
Cisco Linksys PlayerPT ActiveX Control SetSource sURL Argument Buffer Overflow
Synology Synology DiskStation Manager SLICEUPLOAD Code Execution
Linux Linux System Files Information Disclosure

引用:Check Point Research


もし対象ベンダーの製品をお使いの場合、メーカーからアップデートが出ているかを確認し、適用してください。
また、Miraiの場合再起動によってメモリ上から消去することで除去が可能でしたので、今回も同様の対処が可能かもしれません。ただし再起動後再び感染する可能性もあるため、根本的な対策とはなりません。

IoT機器のセキュリティ課題

Mirai、そしてIoTroopの件から、IoT機器のセキュリティ課題を考えてみます。
Miraiが非常に大きな規模のボットネットを構築できたということは、それだけ「デフォルト設定のパスワードそのままで使っていた端末」が多いことを意味します。
一方のIoTroopは脆弱性を利用しています。こちらも、修正パッチを当てないままの端末が多ければ多いほど、構築されるボットネットも巨大化することになるでしょう。

上記二点について言えば
「パスワードはデフォルト設定から変更しておく」「ソフトウェアアップデートを実行する」
という基本事項を実施することが何より重要です。

しかし、それでは済まない場合があります。
例えばMiraiの標的となっていた機器の中には、ユーザー名とパスワードがハードコードされていて変更したくてもできないという物がありました。(該当の機器はメーカーによってリコールされました。
IoTroopは機器の脆弱性を利用していますが、もしもソフトウェアアップデートができない機器だと、パッチを当てたくても当てられないということになります。
つまり、IoT機器のセキュリティ対策で厄介なのは「そもそも機器で行える対処が無い」という場合なのです。

このような場合に対しては、導入時点でこのような機器を選ばないことこそが最大の対処法となります。
Miraiのソースコードが公開されたこともあり、今後もこのようなマルウェアは増えると予想されています。
選定時点でセキュリティのことを考えておく重要性も、それだけ増しているのです。

Check Point社対応状況

導入後の対策、あるいは多層的な対策としては、ネットワーク上でC&Cサーバーへの通信を止めたり、マルウェアのネットワーク内への侵入を防いだりすることが肝心です。
Check Point社製品を導入することによる対処もその一つ。
IoTroopに対しては、IPSブレード、及びAnti-Botブレードで対応可能です。
img_cp700_01

参考URL:

IoTroop Botnet: The Full Investigation – Check Point Research
「Mirai」ソースコード徹底解剖-その仕組みと対策を探る – atmarkIT
IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策 – TechFactory

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る