Microsoftは12月15日(米国時間)、「MCCrash: Cross-platform DDoS botnet targets private Minecraft servers - Microsoft Security Blog」において、クロスプラットフォームの分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)ボットネットがMinecraftのプライベートサーバを標的にしていると伝えた。MicrosoftのIoT(Internet of Things)セキュリティ研究チームの調査により、さまざまなデバイスへの伝播に成功しているボットネットが発見されている。

  • MCCrash: Cross-platform DDoS botnet targets private Minecraft servers - Microsoft Security Blog

    MCCrash: Cross-platform DDoS botnet targets private Minecraft servers - Microsoft Security Blog

発見されたボットネットは「MCCrash」と名付けられおり、インターネットに公開されたSecure Shell(SSH)対応デバイスのデフォルトの認証情報のリストを悪用して拡散していることが明らかとなった。感染元のパソコンからマルウェアが削除される一方で、ネットワーク内の管理されていないIoTデバイスに感染するという拡散メカニズムを持っていることが判明している。

Microsoftはこのボットネットキャンペーンを「DEV-1028」という名称で追跡、プライベートなMinecraftサーバに対して分散型サービス拒否攻撃を開始したことが確認されている。細工したパケットを使用してプライベートなMinecraft Javaサーバを標的にするよう特別に設計された機能が実装されており、ダークWeb市場で販売されているサービスである可能性が高いと考えられている。また、ボットネットの影響を受けたシステムのほとんどのデバイスがロシアにあることが明らかにされている。

  • The DDoS botnet attack flow - Microsoft Security Blog

    The DDoS botnet attack flow - Microsoft Security Blog

Minecraftサーバのバージョン1.12.2を標的にするようハードコードされていることが調査により判明しているものの、攻撃手法自体はバージョン1.7.2からバージョン1.18.2まで影響を与えると分析されている。これらのバージョンに影響を与えるように特別にコード化された場合、危険にさらされているMinecraftサーバは広範囲におよぶ可能性があると指摘されている。

  • Distribution of Minecraft servers by version - Microsoft Security Blog

    Distribution of Minecraft servers by version - Microsoft Security Blog

攻撃が可能と分析されているMinecraftサーバは日本にも存在することが指摘されており注意が必要。

  • Distribution of Minecraft servers that could be affected by MCCrash - Microsoft Security Blog

    Distribution of Minecraft servers that could be affected by MCCrash - Microsoft Security Blog

MCCrashのような脅威からデバイスおよびネットワークを保護するため、アクセス制限を含め基本的なセキュリティ対策を実施することが望まれている。また、悪意のあるプログラムのダウンロードやSSH対応デバイスへの悪意のあるアクセスの試みを検出し、異常なネットワーク動作に関するアラートを通知するリューションの導入も推奨されている。

サイバー犯罪者は企業だけでなく、一般ユーザーを標的とした攻撃も展開する。特にMinecraftのような人気のあるゲームは狙われやすく、世界各地で個人のサーバが立ち上げられていることから標的にされやすい。提案されている緩和策を実施し、保護対策を行うことが望まれる。