トレンドマイクロでは常に現在の脅威に対する監視と調査を続けています。この活動の中で2021年初頭から既知のマルウェアファミリによるIoT機器への感染事例について再調査したところ、これまでに報告されたIoTマルウェアの中でも最も大きなファミリの一つであり、2018年に猛威を振るったIoTボット「VPNFilter」が感染している事例を複数発見しました。ただしこのVPNFilterに関しては2018年5月にFBIが中心となって遠隔操作サーバ(C&Cサーバ)をテイクダウンしたことが発表されており、一般には既に危険な存在ではないものと考えられています。なぜ、そのVPNFilterが2021年の現在も生き残っているのでしょうか?本記事では調査の詳細と得られた知見について解説します。
![図1:VPNFilterが実行する第一段階の各フェーズにおける不正活動の流れ(Cisco-Talosのレポートに基づく)](https://blog.trendmicro.co.jp/wp-content/uploads/2021/05/図1:VPNFilterが実行する第一段階の各フェーズにおける不正活動の流れ(Cisco-Talosのレポートに基づく)-1024x559.png)
(Cisco Talosのレポートに基づく)