このページの本文へ

IoTデバイスに対する脅威、ドイツテレコムで発生したネット接続不能事件の顛末

「Mirai」ボットネットがルータ90万台の奪取に失敗、Rapid7が解説

2016年12月02日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 11月27日、ドイツのISPであるドイツテレコム(Deutsche Telekom)において、同社顧客が設置するDSLモデム/ルータ「Speedport」約90万台がネット接続不能になる事件が発生した。この事件は、IoTデバイスの脆弱性を狙う「Mirai」ボットネットによる攻撃が引き起こしたもの、という説が有力だ。

 もっとも、この攻撃は結果的に「失敗」に終わったようだ。Miraiを操る攻撃者は何を狙っていたのか、われわれは今後どんな脅威に注意すべきなのか。11月30日、脆弱性管理製品などを扱うセキュリティベンダーのRapid7が記者説明会を開催した。

Rapid7 共同創業者兼CTOのタス・ジークミナキス氏

Miraiはルータの脆弱性を突き、ボットネットへの取り込みを狙った

 Miraiボットネットは、脆弱なIoT機器に感染するマルウェア「Mirai」によってボット化(攻撃者の手先として操られるマシン)された、数十万台規模のデバイス群のことだ。9月20日に著名なセキュリティジャーナリスト、ブライアン・クレブス氏のブログを襲った最大620GbpsのDDoS攻撃で使用され、その後攻撃ツールのソースコードも公開されたことで注目を集めている。

 今回のドイツテレコム顧客を狙った攻撃では、Speedport(Speedport W 921V/W 723V Type B/W 921 Fiber)でファームウェア管理や機器の診断などを実施するSOAPサービス(TR-069)にコマンドインジェクションの脆弱性があり、それがMiraiボットネットに狙われた、という見方が主流だ。Speedportは、ザイクセルの「D1000」DSLモデムをドイツテレコム向けにリブランドしたもので、このD1000に脆弱性があるという報告が、セキュリティリサーチャーによって11月7日に公開されていた。

事件を受け、ドイツテレコムでは脆弱性のあるSpeedportルータへのセキュリティパッチ(ファームウェアアップデート)を公開開始した

 この事件の発生直後、Rapid7では同社のハニーポットフレームワーク「Heisenberg」において、このSOAPサービスが利用する7547/TCPポートへの不正なSOAP HTTP POSTリクエストを調査した。その結果、4日間(11月26~29日)で6万3000を超えるユニークなIPアドレスから、不正なリクエストが発信されていることを確認した。事件当日の27日にいたっては、最大3万5000件以上のリクエストが発生していたという。

 ただし、Rapid7の共同創業者兼CTOのタス・ジークミナキス氏は、今回の事件はMiraiにとっては「誤算だった」と説明する。

 「攻撃者の本来の目的は、SpeedportをMiraiボットネット配下に取り込むことだったと思われる。それがルータのアーキテクチャ上うまくいかず、オフライン化しただけで終わった。現在、この脆弱性を突くMiraiの攻撃は急速に減少している。攻撃者も失敗と認めているのだろう」(ジークミナキス氏)

Dyn DNSサービスへのDDoS攻撃もハニーポットで観測

 今回は失敗に終わったが、Miraiボットネットは新旧さまざまな脆弱性を利用しながら、配下のボット台数を拡大している。

 Miraiボットネットの威力は絶大だ。10月21日には、Miraiを使ってDNSサービス大手のDynに対する大規模なDDoS攻撃が実行され、TwitterやSpotifyなどの人気サービスが約6時間にわたってダウンしている。効果の高さを確信したボットネット事業者によるボットの奪い合いも発生していると、ジークミナキス氏は語る。

 Rapid7がHeisenbergハニーポットで検出した、10月22日前後のMiraiボットネットによるDynへのDDoS攻撃は、下のグラフに現れているとおり、22日になって急増している。なお、このグラフにある6つのクラウド事業者は、Heisenbergに参加する事業者であり、253台で構成されるハニーポットネットワークはグローバルに散在している。

DynがDDoS攻撃を受けてダウンした10月22日前後の攻撃検出状況

 なお、Miraiボットネットのトラフィック量を国別で見ると、トップ3はベトナム、中国、ブラジルだ。1日のユニークなセッション数は平均5000、最大で7000発生している。日本からのトラフィックはごく少ないものの、「分析開始した10月19日時点でボットは55台だったが、10月29日には71台に微増していることを確認している」(ジークミナキス氏)とのこと。

Miraiボットネットの国別トラフィック量

 「Miraiの登場で攻撃のトレンドは一変した」と述べるジークミナキス氏は、今後も脅威動向に注視していくと述べた。

■関連サイト

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この記事の編集者は以下の記事をオススメしています

アクセスランキング

  1. 1位

    トピックス

    “持たない家電”ランキング、もはや定番のアレがやっぱり1位なような

  2. 2位

    トピックス

    思い切った慶應義塾 全教職員にNotion導入で168年分の知的資産をAIに食わせるプロジェクトが始動

  3. 3位

    トピックス

    リモートワークは福利厚生なの? ITエンジニアが本当に欲しい福利厚生第1位となる

  4. 4位

    ビジネス

    管理職こそ大事にしないとまずくないか? 約4割が「続けたい、と答えない」現実

  5. 5位

    トピックス

    インバウンドの頑張りランキングベスト3は「大分県」「岐阜県」「佐賀県」 努力が光る結果に

  6. 6位

    TECH

    訓練だとわかっていても「緊張で脇汗をかいた」 LINEヤフー、初のランサムウェア訓練からの学び

  7. 7位

    TECH

    身代金要求攻撃の被害額は「1社平均6.4億円」 それでも6割超が「支払いを否定しきれない」苦境

  8. 8位

    データセンター

    液冷技術の最先端が集うイノベーションラボ「DRIL」、印西のデータセンターに現わる

  9. 9位

    ITトピック

    管理職ほど機密情報をAIに入力している実態、なぜ?/27卒学生の就職人気、IT業界トップ企業は/最新インシデントの傾向10パターンまとめ、ほか

  10. 10位

    ビジネス

    ランチ抜きが22%!? 物価高で「水筒・コンビニ控え」が定着する中、なぜか「推し活・美容費」だけは死守するオフィスワーカーたち

集計期間:
2026年04月15日~2026年04月21日
  • 角川アスキー総合研究所
TECH 最新連載・特集一覧