このページの本文へ

IoTデバイスに対する脅威、ドイツテレコムで発生したネット接続不能事件の顛末

「Mirai」ボットネットがルータ90万台の奪取に失敗、Rapid7が解説

2016年12月02日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 11月27日、ドイツのISPであるドイツテレコム(Deutsche Telekom)において、同社顧客が設置するDSLモデム/ルータ「Speedport」約90万台がネット接続不能になる事件が発生した。この事件は、IoTデバイスの脆弱性を狙う「Mirai」ボットネットによる攻撃が引き起こしたもの、という説が有力だ。

 もっとも、この攻撃は結果的に「失敗」に終わったようだ。Miraiを操る攻撃者は何を狙っていたのか、われわれは今後どんな脅威に注意すべきなのか。11月30日、脆弱性管理製品などを扱うセキュリティベンダーのRapid7が記者説明会を開催した。

Rapid7 共同創業者兼CTOのタス・ジークミナキス氏

Miraiはルータの脆弱性を突き、ボットネットへの取り込みを狙った

 Miraiボットネットは、脆弱なIoT機器に感染するマルウェア「Mirai」によってボット化(攻撃者の手先として操られるマシン)された、数十万台規模のデバイス群のことだ。9月20日に著名なセキュリティジャーナリスト、ブライアン・クレブス氏のブログを襲った最大620GbpsのDDoS攻撃で使用され、その後攻撃ツールのソースコードも公開されたことで注目を集めている。

 今回のドイツテレコム顧客を狙った攻撃では、Speedport(Speedport W 921V/W 723V Type B/W 921 Fiber)でファームウェア管理や機器の診断などを実施するSOAPサービス(TR-069)にコマンドインジェクションの脆弱性があり、それがMiraiボットネットに狙われた、という見方が主流だ。Speedportは、ザイクセルの「D1000」DSLモデムをドイツテレコム向けにリブランドしたもので、このD1000に脆弱性があるという報告が、セキュリティリサーチャーによって11月7日に公開されていた。

事件を受け、ドイツテレコムでは脆弱性のあるSpeedportルータへのセキュリティパッチ(ファームウェアアップデート)を公開開始した

 この事件の発生直後、Rapid7では同社のハニーポットフレームワーク「Heisenberg」において、このSOAPサービスが利用する7547/TCPポートへの不正なSOAP HTTP POSTリクエストを調査した。その結果、4日間(11月26~29日)で6万3000を超えるユニークなIPアドレスから、不正なリクエストが発信されていることを確認した。事件当日の27日にいたっては、最大3万5000件以上のリクエストが発生していたという。

 ただし、Rapid7の共同創業者兼CTOのタス・ジークミナキス氏は、今回の事件はMiraiにとっては「誤算だった」と説明する。

 「攻撃者の本来の目的は、SpeedportをMiraiボットネット配下に取り込むことだったと思われる。それがルータのアーキテクチャ上うまくいかず、オフライン化しただけで終わった。現在、この脆弱性を突くMiraiの攻撃は急速に減少している。攻撃者も失敗と認めているのだろう」(ジークミナキス氏)

Dyn DNSサービスへのDDoS攻撃もハニーポットで観測

 今回は失敗に終わったが、Miraiボットネットは新旧さまざまな脆弱性を利用しながら、配下のボット台数を拡大している。

 Miraiボットネットの威力は絶大だ。10月21日には、Miraiを使ってDNSサービス大手のDynに対する大規模なDDoS攻撃が実行され、TwitterやSpotifyなどの人気サービスが約6時間にわたってダウンしている。効果の高さを確信したボットネット事業者によるボットの奪い合いも発生していると、ジークミナキス氏は語る。

 Rapid7がHeisenbergハニーポットで検出した、10月22日前後のMiraiボットネットによるDynへのDDoS攻撃は、下のグラフに現れているとおり、22日になって急増している。なお、このグラフにある6つのクラウド事業者は、Heisenbergに参加する事業者であり、253台で構成されるハニーポットネットワークはグローバルに散在している。

DynがDDoS攻撃を受けてダウンした10月22日前後の攻撃検出状況

 なお、Miraiボットネットのトラフィック量を国別で見ると、トップ3はベトナム、中国、ブラジルだ。1日のユニークなセッション数は平均5000、最大で7000発生している。日本からのトラフィックはごく少ないものの、「分析開始した10月19日時点でボットは55台だったが、10月29日には71台に微増していることを確認している」(ジークミナキス氏)とのこと。

Miraiボットネットの国別トラフィック量

 「Miraiの登場で攻撃のトレンドは一変した」と述べるジークミナキス氏は、今後も脅威動向に注視していくと述べた。

■関連サイト

カテゴリートップへ

この記事の編集者は以下の記事をオススメしています

アクセスランキング

  1. 1位

    データセンター

    首都圏のデータセンター枯渇、電力コストの高騰、エンジニア不足 課題から考える最新データセンター選び

  2. 2位

    ITトピック

    “VMwareショック”余波、IaaSベンダー撤退も/本音は「拒否したい」時間外の業務連絡/IT部門のデータメンテ疲れの声、ほか

  3. 3位

    デジタル

    なぜ大企業でkintoneの導入が増えているのか? DX推進と「脱・属人化」を実現するエンプラパートナーに聞いた

  4. 4位

    TECH

    【提言】「VPNの安全性」が通用しない時代 ZTNAへの困難な移行を経営層はサポートせよ

  5. 5位

    データセンター

    「NVIDIA Blackwell GPU」約1100基搭載のAIインフラが稼働 さくらインターネットが石狩DC内で

  6. 6位

    デジタル

    kintoneの大企業売上は間もなく3割に サイボウズはグローバルで“戦える”新サービスも開発中

  7. 7位

    TECH

    自律的に動けないメンバーを持つくらいなら、一人で全部やったほうが幸せに働ける「管理職の憂鬱」に関する調査

  8. 8位

    ビジネス

    行政DXを超え、デジタルで市民の力を引き出す“地域社会DX”へ 兵庫県豊岡市の挑戦

  9. 9位

    ITトピック

    生成AIなしでは仕事できない? 会社員7割が“AI依存”自覚/「年内にAIエージェントが成果生む」CEOの9割が確信、ほか

  10. 10位

    Team Leaders

    ランサムウェア攻撃になぜ強い? Boxが「コンテンツセキュリティ」と「AIリスク対策」を解説

集計期間:
2026年02月27日~2026年03月05日
  • 角川アスキー総合研究所
TECH 最新連載・特集一覧