Mirai (マルウェア)

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
Mirai
作者 "Anna-senpai"
(ハンドルネーム)[註 1]
リポジトリ github.com/James-Gallagher/Mirai
プログラミング言語 C言語スレーブ
Goマスター
対応OS Linux
種別 マルウェアボットネット
テンプレートを表示

Mirai(ミライ[2]、日本語の未来に由来するとみられる[3][註 2])は Linux で動作するコンピュータを、大規模なネットワーク攻撃の一部に利用可能な、遠隔操作できるボットにするマルウェアである。ネットワークカメラや家庭用ルーターといった家庭内のオンライン機器(IoTデバイス)を主要ターゲットとしている[5]。Mirai によって構築されたボットネットは、2016年8月[6]MalwareMustDieというマルウェア調査報告グループによって初めて発見され、コンピュータセキュリティを得意とするジャーナリストであるブライアン・クレブス英語版のウェブサイトに行われた2016年9月20日の攻撃[7]やフランスのインターネット関連企業である OVH英語版に対する攻撃[8]、DNSサーバープロバイダの ダイン英語版を標的とした同年10月の攻撃英語版といった、かつてないほどの大規模[9]かつ破壊的なDDoS攻撃に使われてきた[10][11][12]

Mirai のソースコードは同年9月下旬[9]に、オープンソースとして、ハッカーが集まるフォーラムで公開された[13]。そのため、Mirai の機構は他のマルウェア開発でも使われることとなった[14]

マルウェア[編集]

Mirai に感染した端末は、IoTデバイスの IPアドレスをインターネット上で走査する。ただし、Mirai は米国郵便公社米国防総省に割り当てられている IPアドレスといった、感染対象としないサブネットマスクの表(テーブル)を有している[15]

その後、走査された IPアドレスを使っている IoTデバイスのセキュリティが脆弱であることを、出荷時に共通なユーザーネームとパスワードのテーブルを使って確認し、感染させるためにログインする[16][8][17]。Mirai に感染した端末は、時折動作が遅くなったり[16]、使用する帯域幅が増加することはあっても、普段通りに動作し、再起動するまでは感染したままである。更に、再起動したとしても、直ちにログインパスワードを変更しない場合は、数分以内に再び感染してしまうという[1][16]。また、感染したときに「競合する」マルウェアに感染していないかを検出し、感染していた場合はこれをメモリから削除し、リモート管理ポートをブロックする[18]

数十万もの工場出荷時の設定のままになっていて、セキュリティの脆弱なIoTデバイスが、 Mirai に感染している。感染すると、端末は、攻撃対象を指示するコマンドやコントロールサーバを監視するようになる[16]。この様に大量のIoTデバイスを支配するのは、特定のIPアドレスから送信される大量のリクエストのような異常なトラフィック・パターンを検知して、送信元IPアドレスに対しブロックやフィルタリングを行う、DoS対策ソフトウェアを掻い潜るためである。

DDoS攻撃での利用[編集]

Mirai は、BASHLITE英語版と一緒に[19]、コンピュータセキュリティを得意とするジャーナリストのブライアン・クレブスが執筆するブログの“Krebs on Security”に対して行われた攻撃で使用され、620 Gbps [註 3]もの通信量に達した[21]。多大なトラフィックを前に、ブログサービスを提供していたアカマイ・テクノロジーズは、このブログの維持を休止することとなった[20]。アカマイからウェブホスティングを中止された後にウェブホスティングを申し出たある企業は、「Akamaiで受けていたような保護を受けるには、年間15万ドルから20万ドル(約1560万円から2100万円)の費用がかかるだろう」と対策の難しさを示した[20]。2016年10月20日現在、彼のウェブサイトは Google が提供する、無料のDDoS対策サービスの“Google Project Shield”を利用して完全復活している[20]

また、技術関連のニュースサイトである Ars Technica英語版は、フランスのウェブホスティングサービス企業である OVH に対して行われた攻撃では1 Tbps を記録したと伝えた[8]

同年10月21日に行われた、DNSサーバプロバイダーのダインに対する大規模DDos攻撃では Mirai に感染した大量のIoTデバイスが使われ、GitHubTwitterRedditAirbnbネットフリックスといった有名サイトを含めた、多くのウェブサイトでアクセスできなくなった[22][9]。このときの攻撃では、ダインは、10万台以上ものIoT機器から攻撃を受けることとなった[9]

Mirai は2016年11月に発生した、リベリアのインターネットインフラストラクチャーをターゲットにしたサイバー攻撃でも使われている[23][24][25]。コンピュータセキュリティー専門家のケビン・ボーモント (Kevin Beaumont) は、攻撃の規模からしてダインを攻撃した人物と同じ者による攻撃だろうと語っている[23]

亜種[編集]

BKDR_MIRAI.A という亜種は、従来 Mirai が感染対象としていた Linux の IoTデバイスだけでなく、WindowsPC をも感染対象としている[26]。Linux のデバイスに対しては従来のように Mirai に感染させるが、WindowsPC と認識した場合は、Mirai に感染させる代わりに BKDR_MIRAI.A 自身を複製して感染させる[26]。感染した WindowsPC は、元の BKDR_MIRAI.A と同じ様に Linux と WindowsPC を捜索する[26]。BKDR_MIRAI.A を使うことで、感染対象とするIoTデバイスの検索効率を上げることが意図されているものとみられている[26]

註釈[編集]

  1. ^ 下ネタという概念が存在しない退屈な世界という日本のライトノベル作品に登場するキャラクターの「アンナ・錦ノ宮」に由来する[1]
  2. ^ 流出した、Anna-senpai とロバート・コエーリョ (Robert Coelho) の間で交わされたチャット記録によれば、Mirai という名は未来日記という日本の漫画作品にちなんで名づけられたという[4]
  3. ^ このトラフィックは発生当時、史上最大のもので、以前史上最大と言われていたトラフィック量は300 Gbps とも400 Gbps とも言われているが、それの1.5倍から2倍ということになる[20]

出典[編集]

  1. ^ a b 江添佳代子 (2016年10月26日). “ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻”. 2016年10月31日閲覧。
  2. ^ “IoT機器悪用、ウイルス「ミライ」世界で猛威”. YOUMIURI ONLINE (読売新聞社). (2016年10月29日). http://www.yomiuri.co.jp/national/20161029-OYT1T50069.html 2016年10月31日閲覧。 
  3. ^ Edward Cox (2016年10月23日). “Mirai IoT Botnet: 5 Fast Facts You Need to Know”. Mirai IoT Botnet: 5 Fast Facts You Need to Know. 2016年10月30日閲覧。
  4. ^ Who is Anna-Senpai, the Mirai Worm Author?”. 2017年1月25日閲覧。
  5. ^ Biggs, John (2016年10月10日). “Hackers release source code for a powerful DDoS app called Mirai”. TechCrunch. 2016年10月19日閲覧。
  6. ^ njccic (2016年12月28日). “Mirai Botnet”. The New Jersey Cybersecurity and Communications Integration Cell (NJCCIC). 2016年12月28日閲覧。
  7. ^ Krebs, Brian (2016年9月21日). “KrebsOnSecurity Hit With Record DDoS”. Brian Krebs. 2016年11月17日閲覧。
  8. ^ a b c Bonderud, Douglas (2016年10月4日). “Leaked Mirai Malware Boosts IoT Insecurity Threat Level”. securityintelligence.com. 2016年10月20日閲覧。
  9. ^ a b c d “「IoT乗っ取り」攻撃でツイッターなどがダウン”. YOMIURI ONLINE (読売新聞社). (2016年10月28日). http://www.yomiuri.co.jp/science/goshinjyutsu/20161028-OYT8T50051.html 2016年10月31日閲覧。 
  10. ^ Hackett, Robert (2016年10月3日). “Why a Hacker Dumped Code Behind Colossal Website-Trampling Botnet”. Fortune.com. 2016年10月19日閲覧。
  11. ^ Newman, Lily Hay. “What We Know About Friday’s Massive East Coast Internet Outage” (en-US). WIRED. https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/ 2016年10月21日閲覧。 
  12. ^ Dyn | crunchbase”. 2016年10月23日閲覧。
  13. ^ Statt, Nick (2016年10月21日). “How an army of vulnerable gadgets took down the web today”. The Verge. 2016年10月21日閲覧。
  14. ^ Kan, Michael (2016年10月18日). “Hackers create more IoT botnets with Mirai source code”. ITWORLD. 2016年10月20日閲覧。
  15. ^ Zeifman, Igal (2016年10月10日). “Breaking Down Mirai: An IoT DDoS Botnet Analysis”. Incapsula. 2016年10月20日閲覧。
  16. ^ a b c d Moffitt, Tyler (2016年10月10日). “Source Code for Mirai IoT Malware Released”. Webroot. 2016年10月20日閲覧。
  17. ^ Osborne, Charlie (2016年10月17日). “Mirai DDoS botnet powers up, infects Sierra Wireless gateways”. ZDNet. 2016年10月20日閲覧。
  18. ^ Xander (2016年10月28日). “DDoS on Dyn The Complete Story”. ServerComparator. 2016年11月21日閲覧。
  19. ^ Double-dip Internet-of-Things botnet attack felt across the Internet” (2016年10月22日). 2017年2月18日閲覧。
  20. ^ a b c d 江添佳代子 (2016年10月20日). “ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (4) Akamaiが匙をなげるまでの2週間”. 2016年10月31日閲覧。
  21. ^ The Economist, 8 October 2016, The internet of stings
  22. ^ Today the web was broken by countless hacked devices”. theregister.co.uk (2016年10月21日). 2016年10月24日閲覧。
  23. ^ a b Unprecedented cyber attack takes Liberia's entire internet down”. The Telegraph. 2016年11月21日閲覧。
  24. ^ DDoS attack from Mirai malware 'killing business' in Liberia”. PCWorld. 2016年11月21日閲覧。
  25. ^ Massive cyber-attack grinds Liberia's internet to a halt”. The Guardian. 2016年11月21日閲覧。
  26. ^ a b c d Windows機器も拡散に利用、「Mirai」の変化に注意を”. is702. トレンドマイクロ (2017年2月15日). 2017年2月19日閲覧。

関連項目[編集]

IoTデバイスを攻撃するマルウェア
BASHLITE英語版
Linux.Darlloz英語版
Remaiten英語版
Linux.Wifatch英語版

外部リンク[編集]

  • Krebs on Security - Mirai で被害を受けたウェブサイトの内、初期のもの

以下のリンク先は不正アクセス行為の禁止等に関する法律不正指令電磁的記録に関する罪に抵触する内容を有する可能性があることに留意