2016年に悪名をとどろかせた「Mirai」。防犯カメラやルーターなど、IoT機器に感染し、ボットネット(コンピューターウイルスなどによって多くのパソコンやサーバに遠隔操作できる攻撃用プログラム=ボットを送り込み、外部からの指令で一斉に攻撃を行わせるネットワーク)を形成するマルウェアだ。
大規模なDDoS攻撃に何度も利用され、2016年10月には、Amazon.com、Twitter、Netflixなど、大手サイトが利用しているDNSサービス「Dyn」をダウンさせる事件も起こしている。Miraiに乗っ取られた機器は世界中でおよそ50万台にものぼるといい、日本でも感染は確認された。
そしていま、悪意ある攻撃者がMiraiのソースコードの一部を再利用し、「Satori」と呼ばれるボットネットを作っているという。
SatoriはIoT機器に弱点を見つけると、デフォルトの設定が変更されているか確認し、変更されていないマシンのコントロール権限を得る。その上で、さらに広域のネットワークに接続し、そこに存在するほかのデバイスもコントロールする。
インターネットに接続された無防備なデバイスを乗っ取り、一斉に遠隔操作できるようにする性質をもつSatoriは、さながらIoT機器を“ゾンビ”のような存在に変えてしまうボットネットといえる。
今のところ少数のデバイスをコントロール下に置くことにしか成功していないようだが、今後、大規模に拡大するおそれもある。このSatoriをベースに、仮想通貨マイニングの収益を奪い取るために作られたマルウェア「Satori Coin Robber」も見つかったばかりだ。
IoT機器を狙うマルウェアの存在が確認されたとき、個人にできることがないわけではない。たとえば、不正プログラムへの感染を防止するため、ユーザー名とパスワードは初期設定のままで使用せず、第三者に推測されにくいものに変更するなどの対策がある。これは簡単なように見えて、実は効果的だ。
Miraiにも、多くの機器の初期設定で使われているユーザー名とパスワード(「admin」「root」「guest」など)でログインを試みる特徴があった。デフォルトで設定されているユーザー名とパスワードのまま機器を使用していると、感染しやすくなってしまうといえる。家庭で使っているIoT機器のパスワードが初期設定のままなら、変更したほうがいいだろう。
IoTが身近になり、インターネットに接続されるデバイスが当たり前になれば、そこを狙った攻撃も増えてくるはず。IoTを悪用したボットネットへの知識を深めておきたいなら、Satoriについて解説したMcAfee Blogの記事を紹介しよう。
「Mirai」のコードでIoTデバイスをゾンビ化させる「Satori」ボットネット
死から蘇るゾンビのように、マルウェア「Mirai」の残骸からまた新たなボットネットが生まれています。特に、新手の攻撃者がMiraiのソースコードの一部を再利用し、「Satori」と呼ばれる急速に進化しているボットネットに命を吹き込んでいるのです。そして今、Satoriが自分のゾンビを作り出すようになりました。このボットネットが、インターネットに接続されたデバイスを乗っ取り、それらを遠隔で一斉操作できる忠実なボットネットの軍隊に仕立てていることが確認されたのです。
現時点において、Satoriは未完成のボットネットですが、そのことはこのボットネットが急速に進化していることも意味しています。Satoriは、俊敏性は生き残ることと同意であることを理解しています。なぜなら、Satoriがセキュリティ対策に適応し、繰り返し進化していることが確認されているからです。かつて、Satoriが利用していたメインのC&Cサーバーは研究者によって消去されたこともありましたが、このボットネットは直ぐに再び出現しました。
そのため、このボットネットがこれまでになく強化されて舞い戻ってきたことは当然とも言えます。現在のバージョンは、さまざまなIoTデバイスで使われているARCプロセッサ関連のソフトウェアを標的としていることが確認されています。Satoriは、IoTデバイスに弱点を見つけると、デフォルトの設定が変更されているか確認し、変更されていないマシンのコントロール権限を得ます。その上で、さらに広域のネットワークに接続し、そこに存在する他のデバイスもコントロールします。今のところ、少数のデバイスをコントロール下に置くことにしか成功していませんが、十分な規模まで拡大すれば、Satori軍団を召集し、スパムメールの大量配信や企業ウェブサイトの無効化、さらにはインターネットそのものの大部分を崩壊させてしまうかもしれません。
一見したところSatoriは、Miraiのコードを利用するだけでなく、その手口にも倣っているようです。Satoriのやり口は、あの悪名高い「Mirai」によるDDoS攻撃を連想させます。しかし、私たちもMiraiの教訓に倣って、Satoriによる攻撃の可能性に備えることができます。何よりもまず、IoTデバイスの所有者は、今すぐデフォルト設定を変更しなければなりません。これは必須のセキュリティ対策ですが、多くのユーザーが実施しないため、Miraiによる攻撃が可能になっています。デフォルト設定を変更した上で、外部からのTelnetアクセスを無効にし、遠隔操作が必要であればSSHを使用してください。ただし、これはメーカーの責任でもあります。メーカー側が、こうした設定をデフォルトで強制するべきです。ユーザーとベンダーがこうした簡単なセキュリティ対策に従えば、Satoriの成長を防ぎ、Miraiに触発された攻撃の野望を完全に抑えることができるでしょう。
Satoriボットネットなどの詳細については、Twitterで@McAfeeや@McAfee_Labsをフォローしてください。
※本ページの内容は 2018年2月9日更新のMcAfee Blogの内容です。
原文:Satori Botnet Turns IoT Devices Into Zombies By Borrowing Code from Mirai
■関連サイト
