“アンナ先輩”が公開したマルウェア「Mirai」に専門家が震え上がる訳 という記事を見つけました
IoT(モノのインターネット)を狙ったボットネットを構成し、大規模な分散型サービス拒否(DDoS)攻撃を引き起こしたマルウェア「Mirai」のソースコードが公開された。コードから得られる教訓もあるが、専門家はそれ以上に、脅威の大きさを懸念している。
Miraiのコードは、ハッキングコミュニティーのWebサイト「Hack Forums」で、コードの作者とみられる「Anna-senpai」(アンナ先輩)というユーザーが公開した。Miraiが構成したボットネットは、情報セキュリティジャーナリストのブライアン・クレブス氏が運営するWebサイトをダウンさせたDDoS攻撃に使われた。その攻撃の規模は620Gbpsに達したという。
「Mirai」がもたらす脅威
「Mirai」「Anna」という名前は、どちらも日本のアニメにちなんだものだ。Anna-senpaiは自分自身を、Miraiを利用したい人たちの教師だと思って「senpai」(先輩)という敬称を使っているとみられる。だが教師という意味では、senpaiよりも「sensei」(先生)の方が適切だろう。
Anna-senpaiは、この攻撃に対する責任は認めておらず「ゲームを降りる時期が来た」と述べている。Hack Forumsへの投稿でAnna-senpaiは、DDoS攻撃に関わり始めた頃のことを次のように語っている。
最初は、こんなに長くDDoS攻撃に関わるつもりはなかった。金も手にし、今が引き際だと考えている。そういうことで今日はコードを公開することにした。通常Miraiを使用すると、Telnetからだけで最大38万件のボットを引き寄せることができる。だがクレブス氏が運営するWebサイトに対するDDoS攻撃の後、インターネットサービスプロバイダー(ISP)は徐々に休業し、改心している。現時点で、取得されるボットの最大数は30万件と減少し続けている
Anna-senpaiは、Miraiを実行するのに必要なシステム要件と、Miraiを構成するためのヒントも提示している。このスクリプトとコードを使用すれば、1時間かからずに有効なボットネットをセットアップできるはずだとAnna-senpaiは主張する。
「マルウェアを適切に実行するにはスキルが必要だ」と専門家はいう。だがサンフランシスコに拠点を置くセキュリティ企業Digital Shadowsで戦略の統括責任者を務めるリック・ホーランド氏は「コードを公開するのは非常に危険だ。繰り返しになるが、攻撃者となるためのハードルが低くなる」と指摘する。
ホーランド氏は「コードの公開は、企業にとって利益よりも害の方が大きい」と言い切る。利益はDDoS攻撃への関心を高めることができる点だろうが、もちろん関心を高めるだけではセキュリティ制御にならない。DDoS攻撃を防ぐこともできないだろう。「企業は関心を高めることから、脆弱(ぜいじゃく)性の緩和対策に行動を移すべきだ」(同氏)
ただしマルウェア情報サイトのMalwareTechは「攻撃者にとって、このコードを使用して行動を起こすことは簡単ではないかもしれない」と、ミニブログの「Twitter」でツイートしている。
カリフォルニア州サンタクララを拠点とするマルウェア対策ベンダーMalwarebytesで上級セキュリティ研究者を務めるジャン=フィリップ・タガート氏は、コードの公開によって、より大きなボットネットが形成される恐れがあると指摘する。また経験が乏しい攻撃者のお粗末なコードと経験不足によって、ボットネット内のIoTデバイス(インターネット接続型デバイス)に誤って損害が及ぶ可能性が高まることも指摘している。
「IoTデバイスを用いたDDoS攻撃を軽減するのは容易でない」とタガート氏は語る。こうしたデバイスは正当なIPアドレスを保有しているため、本当のトラフィックをフィルター処理するのが困難になるからだ。「より高度な攻撃者は、IoTデバイスにパッチを適用して、自分たちしかアクセスできないようにすることもできる」と同氏は説明する。
カリフォルニア州サンノゼにあるセキュリティ企業Vectra Networksで最高セキュリティ責任者(CSO)を務めるギュンター・オールマン氏によると、将来、Miraiは未知の方法で変更される可能性があるという。
ボットネットのエージェントは非常に多機能だ。汎用(はんよう)的なSoC(System-on-a-chip)製品に対するインストールパッケージを多数保持している。このことは、ボットネットの管理者が製品間の違いを理解していなくても、幅広い製品を標的にできるということだ。つまり「攻撃を仕掛けるのに必要なスキルのレベルが下がっていることに他ならない」とオールマン氏は指摘する。
Anna-senpaiによると、Miraiは従来のボットネット「Qbot」と比較して80倍高速で、消費リソースが20分の1になる方法を使用して、Telnet経由でIoTデバイスのパスワードをしらみつぶしに見つけて波及するという。
Mirai公開で明るみに出た問題
オールマン氏は、Miraiの“優れた”機能の1つとして、複数のIPアドレスを使用してLinuxでポート不足を回避できることを挙げる。この機能は、作成できるアウトバウンド(送信)接続の合計数を増やして、インバウンド(受信)接続数を不足させることで、受信デバイスをオーバーロードさせる。
過剰な接続に起因するDDoS攻撃は、大量のトラフィックを必要としないので、攻撃手法として好まれることが多いという。「より少ない台数の攻撃デバイスでDDoSの状態を達成し、少ない帯域幅で目標を達成できる」(オールマン氏)。
バージニア州センタービルに拠点を置く中古車情報会社CARFAXでリードセキュリティアナリストを務めるジェリー・ガンブラン氏によると、Miraiのコードが公開されたことで、デバイスのパスワードをデフォルトのままにしているエンドユーザーが直面する問題が浮き彫りになった。
「今でもデバイスでTelnetが実行されている事実に驚くだろう。だが、残念ながら、これは驚くべきことではない」とホーランド氏は語る。管理者アカウントの資格情報についても同じことがいえる。「IoTデバイスでは、セキュリティが不十分であるか、全く対策が施されていないことが非常に多い」(同氏)
資格情報の問題は「IoTデバイスのメーカーが、将来考慮しなければならない設計上の欠陥だ」とオールマン氏は言う。全てのIoTデバイスには、デフォルトの資格情報を設定して出荷せざるを得ない。これ自体は、購入者が各自のネットワーク環境に合わせてデバイスを構成できるようにするために必要だ。本当の問題は、所有者がインストール後にデバイスのアカウントを変更しないことに無関心であることだという。
「将来、IoTデバイスのベンダーは所有者に対して、構成を続行する前にデバイスのデフォルトパスワードの変更を義務付けるべきだろう。また、ありふれたパスワードやパスワードの再利用を防ぐためにパスワードの基本的な整合性チェックも行う必要がある。これは全く難しいことではない」(オールマン氏)
オールマン氏はリスクを軽減するための基本的なセキュリティ対策を幾つか提案する。リスクにさらされる可能性を低減するには、IoTデバイスのデフォルトの管理者資格情報を変更するか、デバイス内にある非管理者の資格情報を変更または削除することが重要だという。同氏はIoTデバイスがファイアウォールの内側に配置されていることと、ファイアウォールがデフォルトでIoTデバイスの操作に必要不可欠でないプロトコルを全て排除するように構成されていることを確認することを推奨する。
ホーランド氏によると、IoTデバイスがDDoS攻撃のボットネットで使用されるリスクを軽減するための最初の一歩は、IoTデバイスのフットプリント(リソース量)を意識することだという。「企業では、社内にあるIoTのインベントリ(資産)を把握していないことが非常に多い」(ホーランド氏)
次のステップは、導入しているデバイスの利用可能な構成設定を理解することだ。「IoTのセキュリティ対策が不十分であることを考えると、利用できるものはかなり限られるだろう」とホーランド氏は語る。最終的には、IoTデバイスにセキュリティ対策を盛り込むようIoTベンダーに圧力をかける必要があるという。クライアント端末やサーバといった多くの従来型のIT資産と異なり、IoTデバイスには後からセキュリティ対策を追加できないからだ。
何とか IOTの基盤交換を含めて 対処するか アクセス遮断を考えないと
IoT(モノのインターネット)を狙ったボットネットを構成し、大規模な分散型サービス拒否(DDoS)攻撃を引き起こしたマルウェア「Mirai」のソースコードが公開された。コードから得られる教訓もあるが、専門家はそれ以上に、脅威の大きさを懸念している。
Miraiのコードは、ハッキングコミュニティーのWebサイト「Hack Forums」で、コードの作者とみられる「Anna-senpai」(アンナ先輩)というユーザーが公開した。Miraiが構成したボットネットは、情報セキュリティジャーナリストのブライアン・クレブス氏が運営するWebサイトをダウンさせたDDoS攻撃に使われた。その攻撃の規模は620Gbpsに達したという。
「Mirai」がもたらす脅威
「Mirai」「Anna」という名前は、どちらも日本のアニメにちなんだものだ。Anna-senpaiは自分自身を、Miraiを利用したい人たちの教師だと思って「senpai」(先輩)という敬称を使っているとみられる。だが教師という意味では、senpaiよりも「sensei」(先生)の方が適切だろう。
Anna-senpaiは、この攻撃に対する責任は認めておらず「ゲームを降りる時期が来た」と述べている。Hack Forumsへの投稿でAnna-senpaiは、DDoS攻撃に関わり始めた頃のことを次のように語っている。
最初は、こんなに長くDDoS攻撃に関わるつもりはなかった。金も手にし、今が引き際だと考えている。そういうことで今日はコードを公開することにした。通常Miraiを使用すると、Telnetからだけで最大38万件のボットを引き寄せることができる。だがクレブス氏が運営するWebサイトに対するDDoS攻撃の後、インターネットサービスプロバイダー(ISP)は徐々に休業し、改心している。現時点で、取得されるボットの最大数は30万件と減少し続けている
Anna-senpaiは、Miraiを実行するのに必要なシステム要件と、Miraiを構成するためのヒントも提示している。このスクリプトとコードを使用すれば、1時間かからずに有効なボットネットをセットアップできるはずだとAnna-senpaiは主張する。
「マルウェアを適切に実行するにはスキルが必要だ」と専門家はいう。だがサンフランシスコに拠点を置くセキュリティ企業Digital Shadowsで戦略の統括責任者を務めるリック・ホーランド氏は「コードを公開するのは非常に危険だ。繰り返しになるが、攻撃者となるためのハードルが低くなる」と指摘する。
ホーランド氏は「コードの公開は、企業にとって利益よりも害の方が大きい」と言い切る。利益はDDoS攻撃への関心を高めることができる点だろうが、もちろん関心を高めるだけではセキュリティ制御にならない。DDoS攻撃を防ぐこともできないだろう。「企業は関心を高めることから、脆弱(ぜいじゃく)性の緩和対策に行動を移すべきだ」(同氏)
ただしマルウェア情報サイトのMalwareTechは「攻撃者にとって、このコードを使用して行動を起こすことは簡単ではないかもしれない」と、ミニブログの「Twitter」でツイートしている。
カリフォルニア州サンタクララを拠点とするマルウェア対策ベンダーMalwarebytesで上級セキュリティ研究者を務めるジャン=フィリップ・タガート氏は、コードの公開によって、より大きなボットネットが形成される恐れがあると指摘する。また経験が乏しい攻撃者のお粗末なコードと経験不足によって、ボットネット内のIoTデバイス(インターネット接続型デバイス)に誤って損害が及ぶ可能性が高まることも指摘している。
「IoTデバイスを用いたDDoS攻撃を軽減するのは容易でない」とタガート氏は語る。こうしたデバイスは正当なIPアドレスを保有しているため、本当のトラフィックをフィルター処理するのが困難になるからだ。「より高度な攻撃者は、IoTデバイスにパッチを適用して、自分たちしかアクセスできないようにすることもできる」と同氏は説明する。
カリフォルニア州サンノゼにあるセキュリティ企業Vectra Networksで最高セキュリティ責任者(CSO)を務めるギュンター・オールマン氏によると、将来、Miraiは未知の方法で変更される可能性があるという。
ボットネットのエージェントは非常に多機能だ。汎用(はんよう)的なSoC(System-on-a-chip)製品に対するインストールパッケージを多数保持している。このことは、ボットネットの管理者が製品間の違いを理解していなくても、幅広い製品を標的にできるということだ。つまり「攻撃を仕掛けるのに必要なスキルのレベルが下がっていることに他ならない」とオールマン氏は指摘する。
Anna-senpaiによると、Miraiは従来のボットネット「Qbot」と比較して80倍高速で、消費リソースが20分の1になる方法を使用して、Telnet経由でIoTデバイスのパスワードをしらみつぶしに見つけて波及するという。
Mirai公開で明るみに出た問題
オールマン氏は、Miraiの“優れた”機能の1つとして、複数のIPアドレスを使用してLinuxでポート不足を回避できることを挙げる。この機能は、作成できるアウトバウンド(送信)接続の合計数を増やして、インバウンド(受信)接続数を不足させることで、受信デバイスをオーバーロードさせる。
過剰な接続に起因するDDoS攻撃は、大量のトラフィックを必要としないので、攻撃手法として好まれることが多いという。「より少ない台数の攻撃デバイスでDDoSの状態を達成し、少ない帯域幅で目標を達成できる」(オールマン氏)。
バージニア州センタービルに拠点を置く中古車情報会社CARFAXでリードセキュリティアナリストを務めるジェリー・ガンブラン氏によると、Miraiのコードが公開されたことで、デバイスのパスワードをデフォルトのままにしているエンドユーザーが直面する問題が浮き彫りになった。
「今でもデバイスでTelnetが実行されている事実に驚くだろう。だが、残念ながら、これは驚くべきことではない」とホーランド氏は語る。管理者アカウントの資格情報についても同じことがいえる。「IoTデバイスでは、セキュリティが不十分であるか、全く対策が施されていないことが非常に多い」(同氏)
資格情報の問題は「IoTデバイスのメーカーが、将来考慮しなければならない設計上の欠陥だ」とオールマン氏は言う。全てのIoTデバイスには、デフォルトの資格情報を設定して出荷せざるを得ない。これ自体は、購入者が各自のネットワーク環境に合わせてデバイスを構成できるようにするために必要だ。本当の問題は、所有者がインストール後にデバイスのアカウントを変更しないことに無関心であることだという。
「将来、IoTデバイスのベンダーは所有者に対して、構成を続行する前にデバイスのデフォルトパスワードの変更を義務付けるべきだろう。また、ありふれたパスワードやパスワードの再利用を防ぐためにパスワードの基本的な整合性チェックも行う必要がある。これは全く難しいことではない」(オールマン氏)
オールマン氏はリスクを軽減するための基本的なセキュリティ対策を幾つか提案する。リスクにさらされる可能性を低減するには、IoTデバイスのデフォルトの管理者資格情報を変更するか、デバイス内にある非管理者の資格情報を変更または削除することが重要だという。同氏はIoTデバイスがファイアウォールの内側に配置されていることと、ファイアウォールがデフォルトでIoTデバイスの操作に必要不可欠でないプロトコルを全て排除するように構成されていることを確認することを推奨する。
ホーランド氏によると、IoTデバイスがDDoS攻撃のボットネットで使用されるリスクを軽減するための最初の一歩は、IoTデバイスのフットプリント(リソース量)を意識することだという。「企業では、社内にあるIoTのインベントリ(資産)を把握していないことが非常に多い」(ホーランド氏)
次のステップは、導入しているデバイスの利用可能な構成設定を理解することだ。「IoTのセキュリティ対策が不十分であることを考えると、利用できるものはかなり限られるだろう」とホーランド氏は語る。最終的には、IoTデバイスにセキュリティ対策を盛り込むようIoTベンダーに圧力をかける必要があるという。クライアント端末やサーバといった多くの従来型のIT資産と異なり、IoTデバイスには後からセキュリティ対策を追加できないからだ。
何とか IOTの基盤交換を含めて 対処するか アクセス遮断を考えないと
※コメント投稿者のブログIDはブログ作成者のみに通知されます