マルウェア「Mirai」はどのようにIoTに感染するのか

　2016年9月、高名なセキュリティジャーナリストであるブライアン・クレブス氏のサイト「Krebs on Security」が、史上最大級のDDoS攻撃に襲われました。

　DDoS攻撃とは、数多くのマシンや機器から、大量のリクエストや大きなデータをターゲットに送りつけ、サービスを不能にさせてしまう攻撃です。クレブス氏を狙ったDDoS攻撃は熾烈を極め、そのトラフィックはピーク時で620Gbpsに達しました。

　620Gbpsは1秒間に80GBのデータが飛んでくる状態を示す数値です。その凄さは簡単にはわからないかもしれませんが、日本のデータセンターで、620Gbps以上の回線容量を持っているのはわずか5ヵ所だけです。つまり、日本で一般的なデータセンターが扱うトラフィック以上のデータが、1つのサイトに集中的に送られたのです。

　この強烈なDDoS攻撃を行った犯人は「Mirai」（みらい）というマルウェアでした。

単純なパスワードのIoT機器に侵入

　MiraiはIoT機器をターゲットにしたマルウェアです。特にネットワークカメラやNVR（ネットワークビデオレコーダー）で構成される監視カメラシステムを狙って作られたといわれています。

　Miraiの特徴のひとつに「初期設定のユーザー名とパスワード辞書」機能があります。62組のユーザー名とパスワード情報を持っており、これに該当する場合、たとえばユーザー名：admin、パスワード：adminといった状態のデバイスであれば、簡単に侵入します。Miraiのソースコードは公開されており、イギリスのIT企業・SOPHOS社が運営する媒体「naked security」にてMiraiが利用したユーザー名とパスワードが確認できます。

　パスワードを使ってIoTデバイスに侵入したMiraiは、システムへの感染を試みます。Miraiはパソコンでなく、機器に組み込まれている特定のシステムをターゲットとしており、それを利用している製品は感染されます。

　Miraiに感染した端末は数十万デバイスと報道されていますが、マルウェアの作者である「Anna-senpai（ハンドルネーム）」は38万台のIoT機器が感染したと主張しています。IoT機器は数が多く、PCと違いセキュリティ対策がしっかりと施されていない製品も多いため、Miraiの被害は一気に広がりました。

　以前からセキュリティの専門家は、IoT機器に対するサイバー攻撃を危惧していました。それがクレブス氏を狙った強烈なDDoS攻撃となって表れたことにより、このサイバーインシデントは当時注目を集めました。

大規模なDDoS攻撃ができる秘密

　ところで、なぜMiraiは、大規模なDDoS攻撃を行えるのでしょうか。その背景には、… 続きを読む