日本語の「悟り」にちなんで名付けられたマルウェア「サトリ」が新たなモノのボットネットを構築しようとしている。ルーターから暗号通貨の採掘者、IoT機器へと標的を変え、いまなお増殖中だ。
新たなボットネットが広がりをみせている。2017年12月以来、セキュリティ研究者らは「サトリ(Satori)」と呼ばれるマルウェアを追跡してきた。サトリはインターネットに接続された機器を「ゾンビ」に変え、一斉に遠隔操作できるようにする。サトリに感染している機器は今のところ少数だ。しかし、サトリの作者は素早く設計に手を加え、大量のスパムメール送信、企業Webサイトの無力化、さらにはインターネット自体に大規模な打撃を与えることが可能な、強力な機械軍団を構築しようとしている。
日本語の「悟り」にちなんで名付けられたサトリには、暗い起源がある。サトリのソースコードの一部は2016年に猛威をふるった「ミライ(mirai)」と呼ばれるボットネットと似ている。ミライは何十万台ものルーターやWebカメラをはじめとする機器を操り、大量のデータ・トラフィックを送信して米国の重要なインターネット・インフラの一部に大きな打撃を与えた。攻撃によって、ツイッターやニューヨーク・タイムズ、エアビーアンドビー(Airbnb)などを含む多くの有力企業のサイトが一時的にダウンしたのだ。
ミライの作者は逮捕されたが、彼らが作りだしたマルウェアが他の犯罪者に影響を与えたことは明らかだ。サイバーセキュリティ企業アーバー・ネットワークス(Arbor Networks)の市場分析担当者マット・ビングは、「サトリが活発に開発されていることは明らかです」という。
- ゾンビの侵入を防ぐためにできること
-
- Webに接続された機器の初期設定パスワードと設定を変更し、ただちにソフトウェアのアップデートを適用することが重要だ。もし、自宅のブロードバンドが大幅に遅くなった場合は、Web攻撃に使用されている可能性がある。その際は、インターネット・サービスプロバイダーに何が起きているのか確かめるべきだ。自宅のルーターがゾンビ化したかもしれないと言っても、プロバイダーに変人だと思われることはない。
結果的に、サトリは急速に進化している。当初はラテンアメリカとエジプトのルーターを標的にしていたが、2017年末頃にそれらの地域のインターネット・サービスプロバイダーがサトリをブロックすると新たな亜種が現れ、デジタル通貨の採掘(マイニング)を行なうコンピューターを標的に変えた。そして今回、サトリは再び変身を遂げた。最新バージョンはARCプロセッサー関連のソフトウェアを標的にしている。ARCプロセッサーはスマート・サーモスタットやデジタルテレビのセットトップ・ボックス、車載用インフォテイメント・システム(ナビやカオーディオを統合したシステム)など、幅広いIoT機器に搭載されているシリコンの頭脳だ。
機器の弱点を発見したサトリは、機器の所有者がパスワードや設定を初期設定のままにしている場合、その機械を制御しようと試みる。成功したらネットワーク内の別の機器に狙いを定め、さらに感染させようとする。
サトリを追跡してきたネットワーク・サービスプロバイダーのセンチュリー・リンク(CenturyLink)でセキュリティ戦略を担当するデール・ドリュー部門長によると、今のところサトリに感染した機器は4万台にすぎないという。しかし、正体不明のサトリの作者は機械を感染させるための「新たな戦術や手法の発見に関して、かなりの訓練を積んでいる」と指摘する。このゾンビ使いがより幅広いIoTを標的にすることに成功した場合、ミライ よりもさらに巨大なボットネットを作りだすかもしれない。