MalwareTech

MalwareTechは10月3日(米国時間)、「Mapping Mirai: A Botnet Case Study|MalwareTech」において、IoTデバイスを悪用した史上最大規模の攻撃になったと見られる「Mirai」マルウェアによるDDoS攻撃について伝えた。この攻撃は主にマルウェアに感染したCCTVカメラによって行われており、IoTデバイスを悪用したサイバー攻撃が現実に脅威になったことを示している。

「Mirai」はBusyBoxシステムを対象としたマルウェア。BusyBoxはLinuxをベースに構築されたディストリビューションで、主にIoTデバイス向けのオペレーティングシステムとして使われている。「Mirai」はtelnetに対して特定のユーザー名とパスワード(ユーザー名admin、パスワードadminなど)でログインを試み、アクセスして中身が感染可能なディストリビューションだった場合に感染する。つまり、デフォルトで設定されているユーザー名とパスワードのまま使っている場合に感染しやすいことになる。

MalwareTech - Miraiマルウェア活動マップ

MalwareTech - Miraiマルウェア活動マップ

「Mirai」に感染したデバイスのほとんどはCCTVカメラとされている。こうしたデバイスは外部のネットワークから管理用のWebインタフェースにアクセスできるようになっている上、デフォルトで設定されている管理者ユーザーのユーザー名とパスワードが広く知られている。そのため、パスワードを変更せずに使われている世界中のCCTVカメラがマルウェアに感染し、今回の史上最大規模のIoTデバイスによるDDoS攻撃に結びついたとされている。

MalwareTechが公開したライブマップによれば、日本にもMiraiに感染したIoTデバイスが存在していることがわかる。

MalwareTech - Miraiマルウェア活動マップ

MalwareTech - Miraiマルウェア活動マップ

記事ではこうした状況を受け、ベンダーは出荷するデバイスに同一のユーザー名とパスワードを付与することを止め、出荷するデバイスごとにランダムなパスワードを設定するといった方法を採用すべきと指摘している。