JPCERT/CCや情報通信研究機構(NICT)など複数の機関が11月よりMirai亜種による国内感染活動の急増に注意を呼びかけている。
TSUBAMEにおける定点観測(JPCERT/CC資料より)
JPCERT/CCは、アジア・太平洋地域インターネット定点観測可視化プロジェクト(TSUBAME)における定点観測にMirai亜種とみられるスキャン活動の増加(Mirai亜種の感染活動に関する注意喚起)、NICT(国立研究開発法人 情報通信研究機構では日本国内のIPアドレスを送信元とする23/TCPへのスキャンの大幅な増加(12月18日現在1.5万ホスト/送信元)や52869/TCP宛てへの攻撃通信(ペイロード)の観測(NICTER観測レポート)、IIJのマルウェア活動観測でも複数のMirai亜種の活動が活発化し、11月には4万台程度の国内感染規模に増加していることを指摘(IIJ-SECT Security Diary)している。
感染には既知の脆弱性(CVE-2014-8361)が悪用されており、ファームウェアアップデートの確認・適用などが求められる。ロジテックは2013年6月より順次修正済みのファームウェアを提供していたが、今回感染機器の多くに同社ブロードバンドルーターの製品が利用されており、同社では機種別のファームウェアのバージョンやダウンロード先リンクをまとめた「ロジテック製300Mbps無線LANブロードバンドルータおよびセットモデル(全11モデル)に関する重要なお知らせとお願い 」を告知している。
JPCERT/CCでは、公開情報にはHUAWEI 社のルータ(HG532)が対象となる情報もあり、改めてルーターなどIoT機器のファームウェアアップデートの確認や適用を強く推奨、参考情報を掲示している。参考情報は以下の通り。
ロジテック株式会社
ロジテック製 300Mbps 無線LAN ブロードバンドルータおよびセットモデル (全11モデル)に関する重要なお知らせとお願い
http://www.logitec.co.jp/info/2017/1219.html
情報通信研究機構 (NICT)
IoT製品の脆弱性を悪用して感染を広げる Mirai の亜種に関する活動 (2017-12-19)
http://www.nicter.jp/report/2017-01_mirai_52869_37215.pdf
IIJ
国内における Mirai 亜種の感染急増 (2017年11月の観測状況)
https://sect.iij.ad.jp/d/2017/12/074702.html
HUAWEI
Security Notice - Statement on Remote Code Execution Vulnerability in Huawei HG532 Product
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en
Fortinet
Rise of One More Mirai Worm Variant
https://blog.fortinet.com/2017/12/12/rise-of-one-more-mirai-worm-variant
