IoT機器を攻撃する新しいマルウェア「BrickerBot」が確認され、注目を集めています。報告によると、その攻撃経路はマルウェア「MIRAI」に類似していますが、MIRAI が感染IoT機器をボット化する一方、BrickerBot は IoT機器を完全に使用不能にするのが特徴です。
BrickerBot は、ネットワーク接続機器のハードウェアの不具合を利用しファームウェアを改変します。この事例を最初に報告した「Radware」のレポート(英語情報)によると、この攻撃を永続的なサービス拒否「Permanent Denial-of-Service(PDoS)」であると説明しています。
IoT機器を狙うマルウェア「MIRAI」や「LuaBot」と同様に、BrickerBot は初期設定のアカウントとパスワードを利用したブルートフォース(総当り)攻撃によって機器に接続します。他の IoT機器を狙うマルウェアは、通常、感染させた機器を集めてボット化し、「分散型サービス拒否(Distributed Denial-of-Service、DDoS)」の攻撃に利用します。しかし、BrickerBot の場合、IoT機器のストレージ機能とカーネルパラメータの設定を変更する、インターネットへの接続を妨害する、動作速度を低下させる、機器内のファイルを削除するなどの一連の不正な Linuxコマンドを実行することで機器に致命的な改変を加え、最終的に使用不能にします。
BrickerBotは、バージョン1と 2が確認されています。
- BrickerBot.1:インターネットに接続している Telnet、あるいは SSHを利用する BusyBox搭載の IoT機器を標的にします。BusyBoxは、Linux OS や Android OS向けに Unix系ユーティリティを提供するソフトウェアです。SSHが対象に含まれる理由は、古い SSHサーバのバージョンが存在するためです。古いファームウェアを使用するネットワーク接続機器は、攻撃を受ける恐れが高くなります。
- BrickerBot.2:インターネットに接続している Telnetと、初期設定のまたはハードコード化された認証情報を持つ Linux機器を狙います。バージョン2は、自身の活動を隠ぺいするために匿名通信システム「The Onion Router(Tor)」の出口ノードを採用しています。
トレンドマイクロは、BrickerBot の解析の結果、関連マルウェアがルータに存在する「リモートでコードが実行される脆弱性」を利用することを確認しています。また、機器にログインするために利用する認証情報が、ユーザ名 ”root” およびパスワード “root”、そしてユーザ名 “root” およびパスワード “vizxv” の組み合わせであったこと、また、機器のストレージへランダムに書き込みを実行できるマルウェアを利用していることを確認しました。
昨年現れたMIRAIが企業や個人ユーザに多大な影響を及ぼして以来、IoT機器のセキュリティ確保がより重要な課題となっています。BrickerBot もまた、今日のサイバー攻撃において IoT機器が大きな役割を果たしていることの表れと言えます。特に製造業やエネルギー分野の企業において、IoT機器が今後ますます必要となってくるでしょう。攻撃者は、家庭用ルータといった比較的単純なものでさえ攻撃に利用します。感染機器の情報を収集し送出したり、あるいはボット化して、企業や組織とその資産を狙うための踏み台として利用します。
■BrickerBot からの防衛策
BrickerBot の破壊的な不正活動を受けて、米国の産業制御システムセキュリティ担当機関「Industrial Control Systems Cyber Emergency Response Team(ICS-CERT)」は、産業制御システムの製造元、事業主およびオペレータのためにセキュリティアドバイザリを公開し、以下のとおり防衛策の導入を推奨しています。
- すべての産業制御システム(ICS)機器について、ネットワークおよびインターネットへの接続を最低限にする
- ファイアウォールを有効化し企業内のネットワークから ICS機器を分断する
- 遠隔で ICS機器に接続する際には仮想プライベートネットワーク(VPN)を採用する
- 可能な限り更新プログラムを定期的に確認して適用し、システム更新を実行する
- 管理者レベルのアカウントについて検証し、認証機構を追加する
BrickerBot に対する最も効果的な対策は、IoT機器の初期設定の認証情報を変更し、セキュリティを強化して、不正アクセスを回避することです。BrickerBot による悪用の恐れがある Telnetのようなリモート管理機能コンポーネントの無効化も考慮してください。
企業や個人ユーザは、BrickerBot によって IoT機器を使用不能にされないための対策が必要となります。侵入口として狙われる IoT機器のファームウェアを更新し、脆弱性に対処する更新プログラムを適用してください。また、侵入防止システムを導入することによって、入口で侵入を検出しブロックすることが可能になり、セキュリティを強化できます。IT管理者、情報セキュリティの専門家は、企業のネットワークにおける不審な、あるいは悪意のある挙動の検出に積極的に取り組むことが重要です。
多くの IoT機器には、初期設定の、あるいはハードコード化された認証情報、ユーティリティ、およびサービスが付属しています。残念なことに、それらは無効化できず、更新プログラムを適用することもできません。今回の BrickerBot の事例は、企業や家庭の IoT機器ユーザへの警告となっただけでなく、製造業者による IoT機器のセキュリティ向上に対する取り組みが必要であることを示しています。
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、この脅威から守られています。サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」をご利用のお客様は、脆弱性を利用する脅威から保護されています。また、弊社のネットワーク挙動監視ソリューション「Deep Discovery™」のサンドボックスやファイル解析エンジンにより、他のエンジンやパターンの更新がなくても、この脅威をその挙動で検出することができます。
ネットワークセキュリティ対策製品「TippingPoint」では、以下のThreatDV filterにより今回の脅威をブロックします。
ネットワーク型対策製品「Deep Discovery™ Inspector」は、以下の DDIルールによってこの脅威を検知します。
トレンドマイクロの「ウイルスバスター for Home Network」は、以下の検出ルールによってこの脅威を検知します。
- 1133255: WEB Remote Command Execution in XML -1
- 1133121: TELNET Default Password Login -14
- 1133598: MALWARE Suspicious IoT Worm TELNET Activity -3
参考記事:
- 「BrickerBot Malware Emerges, Permanently Bricks IoT Devices」
by Trend Micro
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)