Mirai ボットネットは 2016 年に初めて発見され、前例のない数のデバイスを乗っ取り、インターネットに甚大な被害を与えました。今ではそれが戻ってきて、これまで以上に危険になっています。
新しく改良された Mirai はより多くのデバイスに感染しています
2019 年 3 月 18 日、 パロアルトネットワークス のセキュリティ研究者は、同じ目標をより大規模に達成するために Mirai が調整および更新されたことを発表しました。研究者らは、Mirai が 11 個の新しいエクスポート (合計は 27 個) と、デフォルトの管理者資格情報の新しいリストを試行していることを発見しました。変更の一部は、LG Supersign TV や WePresent WiPG-1000 ワイヤレス プレゼンテーション システムなどのビジネス ハードウェアを対象としています。
Mirai がビジネス ハードウェアを乗っ取り、ビジネス ネットワークを強奪できれば、さらに強力になる可能性があります。パロアルトネットワークスの上級脅威研究員であるルチナ・ニガム氏は次のように 述べています 。
これらの新機能により、ボットネットに大きな攻撃対象領域が与えられます。特に、エンタープライズ リンクをターゲットにすると、より広い帯域幅へのアクセスも許可され、最終的にボットネットの DDoS 攻撃に対する火力が向上します。
Miria のこの亜種は、消費者のルーター、カメラ、その他のネットワークに接続されたデバイスを攻撃し続けています。破壊的な目的の場合、感染するデバイスが多ければ多いほど良いのです。やや皮肉なことに、悪意のあるペイロードは、「電子セキュリティ、統合、アラーム監視」を扱うビジネスを宣伝する Web サイト上でホストされていました。
Mirai は IoT デバイスを攻撃するボットネットです
覚えていないかもしれませんが、2016 年には、Mirai ボットネットがあちこちに存在していたようです。ルーター、DVR システム、IP カメラなどがターゲットでした。これらは、モノのインターネット (IoT) デバイスと呼ばれることが多く、 インターネットに接続する サーモスタットなどの単純なデバイスが含まれます。ボットネットは 、コンピュータのグループやその他のインターネットに接続されたデバイスに感染し 、それらの感染したマシンにシステムを攻撃させたり、調整された方法で他の目的に取り組んだりすることによって機能します。
Mirai は、デフォルトの管理者認証情報を持つデバイスを追跡しました。これは、誰も変更しなかったか、メーカーが認証情報をハードコーディングしたためです。ボットネットは膨大な数のデバイスを乗っ取りました。たとえほとんどのシステムがそれほど強力ではなかったとしても、膨大な数のシステムが連携して機能することで、強力なゾンビ コンピューターが単独で実行できる以上のことを実現できます。
Mirai は 500,000 台近くのデバイスを乗っ取りました。 Mirai は、この IoT デバイスのグループ化されたボットネットを使用して、 DNS プロバイダー を直接標的にして、Xbox Live や Spotify などのサービスや、BBC や Github などの Web サイトを機能不全に陥らせました。非常に多くのマシンが感染したため、Dyn (DNS プロバイダー) は 1.1 テラバイトのトラフィックを伴う DDOS 攻撃 によってダウンしました。 DDOS 攻撃は、ターゲットが処理できる量を超える大量のインターネット トラフィックをターゲットに送り込むことによって機能します。これにより、被害者の Web サイトやサービスがクロールされるか、インターネットから完全に排除されます。
Marai ボットネット ソフトウェアの最初の作成者は 逮捕され、有罪を認め、執行猶予が与えられました 。しばらくの間、Mirai は閉鎖されました。しかし、他の悪意のある攻撃者が Mirai を乗っ取り、ニーズに合わせて変更できるように、十分なコードが残っていました。現在、Mirai の別の亜種が存在しています。
ミライから身を守る方法
Mirai は、他のボットネットと同様に、既知のエクスプロイトを使用してデバイスを攻撃し、セキュリティを侵害します。また、既知のデフォルトのログイン資格情報を使用してデバイスに侵入し、乗っ取ろうとします。したがって、3 つの最適な保護ラインは簡単です。
自宅や職場にあるインターネットに接続できるものはすべて、必ず ファームウェア (およびソフトウェア) を更新してください 。ハッキングはイタチごっこであり、研究者が新しいエクスプロイトを発見すると、問題を修正するためのパッチが次々と提供されます。このようなボットネットはパッチが適用されていないデバイスで増殖し、この Mirai 亜種も例外ではありません。ビジネス ハードウェアを標的としたエクスプロイトは、昨年 9 月と 2017 年に確認されました。
デバイスの管理者資格情報 (ユーザー名とパスワード) をできるだけ早く変更してください。ルーターの場合は、 ルーターの Web インターフェイス またはモバイル アプリ (ある場合) でこれを行うことができます。デフォルトのユーザー名またはパスワードを使用してサインインするその他のデバイスについては、デバイスのマニュアルを参照してください。
admin、password、または空白のフィールドを使用してログインできる場合は、これを変更する必要があります。新しいデバイスをセットアップするときは、必ずデフォルトの認証情報を変更してください。すでにデバイスをセットアップしていて、パスワードの変更を忘れていた場合は、今すぐ変更してください。 Mirai のこの新しい亜種は、デフォルトのユーザー名とパスワードの新しい組み合わせをターゲットとしています。
デバイスの製造元が新しいファームウェア アップデートのリリースを停止した場合、または管理者の資格情報がハードコーディングされており、管理者資格情報を変更できない場合は、デバイスの交換を検討してください。
確認する最良の方法は、製造元の Web サイトから始めることです。デバイスのサポート ページを見つけて、ファームウェアのアップデートに関する通知を探します。最後にいつリリースされたかを確認してください。ファームウェアのアップデートから何年も経っている場合、メーカーはおそらくもうデバイスをサポートしていません。
管理資格情報を変更する手順については、デバイス メーカーのサポート Web サイトにも記載されています。最近のファームウェアのアップデートやデバイスのパスワードを変更する方法が見つからない場合は、デバイスを交換する時期が来ている可能性があります。永続的に脆弱なものをネットワークに接続したままにしておくのは望ましくありません。
デバイスを交換するのは大胆なように思えるかもしれませんが、デバイスが脆弱な場合は、それが最善の選択肢です。 Mirai のようなボットネットはなくなりません。デバイスを保護する必要があります。そして、自分のデバイスを保護することで、インターネットの残りの部分も保護することになります。
