「Mirai」(「ELF_MIRAI ファミリ」として検出)の新しい亜種の急速な拡散がセキュリティリサーチャによって報告されています。2017 年 11 月 22 日に確認された 2323 番および 23 番ポートへのトラフィックの急増は Mirai の亜種によるスキャンだと考えられており、確認された約 10 万の固有な IP アドレスはアルゼンチンのものでした。
「Mirai」が構成するボットネットに関連した活動の増加は、脆弱性に関する公開データベースに「Proof-of-concept(概念実証、PoC)」型エクスプロイトコードが公開されたことがきっかけになったと考えられています。この概念実証型エクスプロイトコードは 2017 年 10 月 31 日に公開された後、11 月 22 日に利用されました。このエクスプロイトコードは、ZyXEL 製の古いモデム「PK5001Z」で確認された脆弱性「CVE-2016-10401」を利用します。この脆弱性は 2017 年 7 月に公開されています。
ZyXEL 製の DSL モデムは、米国のインターネット・サービス・プロバイダ(ISP)「CenturyLink」と「Qwest」によって提供されています。Telnet 認証情報の初期設定としてそれぞれ「admin/CenturyL1nk」、「admin/QwestM0dem」がハードコードされており、この認証情報を利用すると機器へのログインおよび root 権限への昇格、DDoS 攻撃を実行するマルウェアのインストール等が可能になります。
リサーチャによると、上述の認証情報「admin/CenturyL1nk」および「admin/QwestM0dem」の悪用は 2017 年 11 月 22 日 11:00 時頃(GMT+8)に始まり、翌日に頂点に達しました。2323 番と 23 番ポートへのトラフィックの増加が確認され、続く調査によりこの活動の原因が新しい
Mirai の亜種であることが判明しました。これらのポートスキャンの送信元 IP アドレスはアルゼンチンのISP「Telefonica de Argentina」のネットワークに属していると報告されています。
Mirai は 2016 年に、ルータ、CCTV カメラ、DVR のようなインターネットに接続された脆弱な機器をゾンビ化する大規模で広範な攻撃によって悪名をはせました。2017 年 2 月には、Mirai の感染対象を探索するために Windows PC を踏み台にし、その感染範囲を拡大したことで再び話題になっています。Mirai の亜種はさまざまな攻撃で利用されており、Netflix、Reddit、Twitter、Airbnb のような大手サイトや、ドイツの ISP「Deutsche Telekom」が提供する約 90 万台の家庭用ルータが影響を受けました。
■被害に遭わないためには
事業の中断や金銭的損失、さらには企業ブランドの評判失墜などの影響を防ぐため、企業は Mirai のような脅威に対して注意を払う必要があります。また、ルータの提供元は自社製品の安全を十分に確認すべきです。ユーザは、このような脅威の影響を軽減するためにベストプラクティスに従ってください。
「ウイルスバスター クラウド」は、エンドポイントレベルでマルウェアを検出できるセキュリティ機能を備え、この脅威に対する効果的な保護を提供します。また、家庭のネットワークに接続する機器を外部からの攻撃や有害サイトへのアクセスから防御するホームネットワークセキュリティ「ウイルスバスター for Home Network」によって、ルータとそれに接続している機器間のインターネットトラフィックをチェックできます。企業ユーザは、ネットワーク型対策製品「Deep Discovery™ Inspector」によって、すべてのポートと 105以上の通信プロトコルを監視し、標的型攻撃や他の高度な脅威を検出することができます。
「Trend Micro Smart Home Network™」をご利用のお客様は以下のルールによって守られています。
- 1134267 TELNET Default Password Login -21
- 1134268 TELNET Default Password Login -22
- 1133148 MALWARE Suspicious IoT Worm TELNET Activity -1
- 1133480 EXPLOIT Remote Command Execution via Shell Script -2
- 1133796 TELNET Default Credential Login Attempt -1
参考記事:
- 「New Mirai Variant Found Spreading like Wildfire」
by TrendLab
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)