Mirai ボットネットとは?

Miraiマルウェアは、IoTデバイスのセキュリティホールを悪用し、数百万のIoTデバイスの集合的な力をボットネットに利用し、攻撃を開始する可能性があります。

Share facebook icon linkedin icon twitter icon email icon

Miraiボットネット

学習目的

この記事を読み終えると、以下のことができます。

  • Miraiボットネットについて学ぶ
  • ボットネットがどのように変化しているのかを学ぶ
  • ボットネットが危険な理由を学ぶ
  • IoTデバイスとボットネットの関係を学ぶ

Miraiとは?

Miraiはマルウェアであり、ARCプロセッサで実行されるスマートデバイスを感染させ、リモート制御のボットまたは「ゾンビ」のネットワークに仕立て上げます。ボットネットと呼ばれるこのボットのネットワークは、 DDoS攻撃を開始するためによく使用されます。

マルウェアは悪意のあるソフトウェアの略であり、コンピューターワーム、ウイルス、トロイの木馬、ルートキット、スパイウェアを含む包括的な用語です。

2016年9月、Miraiマルウェアの作成者は、有名なセキュリティ専門家のWebサイトに対してDDoS攻撃を開始しました。1週間後、おそらく攻撃の発信元を隠そうとして、ソースコードを世界に公開しました。このコードは、すぐに他のサイバー犯罪者によって複製され、2016年10月に、ドメイン登録サービスプロバイダーDynを停止させた大規模な攻撃の背後にあると考えられています。

Miraiはどのように機能しますか?

Miraiは、ARCプロセッサで実行されるIoTデバイスを探してインターネットをスキャンします。このプロセッサは、Linuxオペレーティングシステムの簡易バージョンを実行します。デフォルトのユーザー名とパスワードの組み合わせが変更されていない場合、Miraiはデバイスにログインして感染することができます。

IoTは、モノのインターネット(Internet of Things)の略で、単にインターネットに接続できるスマートデバイスのおしゃれな呼び名です。これらのデバイスには、ベビーモニター、車両、ネットワークルーター、農業用デバイス、医療用デバイス、環境監視デバイス、家電、DVR、CCカメラ、ヘッドセット、煙探知器などがあります。

Miraiボットネットは10万台のハイジャックされたIoTデバイスを使用してDynを停止させました。

Miraiボットネットの作成者は誰なのか?

21歳のParas Jhaと20歳のJosiah Whiteは、DDoS攻撃に対する軽減サービスを提供するProtraf Solutionsを共同設立しました。彼らは、不正行為の典型的なケースでした。彼らのビジネスでは、 DDoS対策サービスを、自身のマルウェアが攻撃した組織に提供しました。

なぜMiraiマルウェアは以前危険なのか?

Miraiは変化しています。

元の作成者は逮捕されましたが、そのソースコードは存続しています。 Okiru、Satori、Masuta、PureMasutaなどの変異形が誕生しました。たとえば、PureMasutaは、D-LinkデバイスのHNAPバグを兵器化できます。一方、OMG系統は、IoTデバイスをプロキシに変換し、サイバー犯罪者が匿名を維持できるようにします。

また、最近発見された強力なボットネットで、IoTrooperやReaperなどと呼ばれるものがあります。これらは、Miraiよりもはるかに高速でIoTデバイスに侵害/危害を及ぼすことができます。Reaperは、より多くのデバイスメーカーを標的にすることができ、ボットの制御もはるかに強力です。

さまざまなボットネットモデルとは?

集約型ボットネット

ボットネットを演劇と考えると、C&C(コマンドアンドコントロールサーバー、C2とも呼ばれます)サーバーがその監督になります。この劇の演者は、マルウェアの感染によって侵害/危害を受け、ボットネットの一部となったさまざまなボットです。

マルウェアがデバイスに感染すると、ボットは時限信号を送信して、C&Cにその存在を通知します。この接続セッションは、C&Cがボットに命令する準備ができるまで開いたままになります。命令には、スパムの送信、パスワードクラッキング、DDoS攻撃などが含まれます

集約型ボットネットでは、C&Cはボットマスターのコマンドをボットに直接伝えることができます。ただし、C&Cは単一障害点でもあります。停止すると、ボットネットは無効になります。

階層型C&C

ボットネット制御は、複数のC&Cを使用して複数の層に編成できます。専用サーバーのグループは、たとえば、ボットをサブグループに編成したり、指定されたコンテンツを配信したりするなど、特定の目的で指定できます。これにより、ボットネットの阻止が困難になります。

分散型ボットネット

ピアツーピア(P2P)ボットネットは、次世代のボットネットです。 P2Pボットは、中央のサーバーと通信するのではなく、コマンドサーバーとコマンドを受信するクライアントの両方として機能します。これにより、集中型ボットネットに固有の単一障害点の問題が回避されます。 P2PボットネットはC&Cなしで動作するため、停止させるのが困難です。 Trojan.PeacommおよびStormnetは、P2Pボットネットの背後にあるマルウェアの例です。

マルウェアはがIoTデバイスをボットやゾンビに変える方法とは?

一般に、メールフィッシングは、コンピューターを感染させる効果的な方法です。被害者は、悪意のあるWebサイトを指すリンクをクリックするか、感染した添付ファイルをダウンロードします。多くの場合、悪意のあるコードは、一般的なウイルス対策ソフトウェアが検出できないような方法で記述されています。

Miraiの場合、ユーザーは、新しくインストールされたデバイスのデフォルトのユーザー名とパスワードを変更せずにそのままにしておく他、特に何もする必要はありません。

Miraiとクリック詐欺の関係は?

CPCとも呼ばれるクリック課金(PPC)はオンライン広告の形態で、企業が広告をホストしてもらうためにWebサイトに料金を支払います。支払いは、そのサイトの訪問者の何人がその広告をクリックしたかによって異なります。

CPCデータが不正に操作された場合、 クリック詐欺として知られています。これは、ユーザーが広告を手動でクリックするか、自動化されたソフトウェアを使用するか、ボットを使用することで実現できます。このプロセスにより、これらの広告を掲載する企業を犠牲にして、Webサイトの不正な利益を生み出すことができます。

Miraiの元の作者は、DDoS攻撃やクリック詐欺のためにボットネットをリースしたことで有罪判決を受けました。

ボットネットはなぜ危険なのか?

ボットネットは、IoTデバイスや、さらにはインターネットを使用するかどうかにかかわらず、人の生活のほぼすべての側面に影響を与える可能性があります。ボットネットは次のことができます:

  • ISPを攻撃し、場合によっては正当なトラフィックへのサービス拒否をもたらします
  • スパムメールを送信
  • DDoS攻撃を開始し、WebサイトとAPIを停止します
  • クリック詐欺
  • Webサイトで、簡単な CAPTCHA チャレンジを解決して、ログイン時の人間の行動を模倣する
  • クレジットカード情報を盗む
  • DDoS攻撃の脅威を利用して身代金を獲得する

なぜボットネットの拡散を抑えるのが難しいのですか?

ボットネットの拡散を止めることが非常に難しい理由は多くあります:

IoTデバイスの所有者

費用やサービスの中断がないため、スマートデバイスを保護するインセンティブはありません。

感染したシステムは再起動で駆除できますが、潜在的なボットのスキャンは一定の速度で行われるため、再起動後数分以内に再感染する可能性があります。つまり、ユーザーは再起動後すぐにデフォルトのパスワードを変更する必要があります。または、ファームウェアをリセットし、パスワードをオフラインで変更できるまで、デバイスがインターネットにアクセスできないようにする必要があります。ほとんどのデバイス所有者には、ノウハウもそうする動機もありません。

ISP

通常、感染したデバイスからのネットワーク上のトラフィックの増加は、メディアストリーミングが生成するトラフィックとは比べ物にならないため、気にする理由はあまりありません。

デバイスメーカー

デバイスメーカーが低コストデバイスのセキュリティに投資するインセンティブはほとんどありません。攻撃の責任を負わせることは、変更を強制する1つの方法かもしれませんが、これは法の施行力の低い地域では機能しないかもしれません。

デバイスのセキュリティを無視することには大きな危険が伴います。たとえば、Miraiはアンチウイルスソフトウェアを無効にできるため、検出が困難になります。

規模

毎年15億を超えるARCプロセッサベースのデバイスが市場に殺到しているため、強力なボットネットに吸収できるデバイスの数が非常に多いため、これらのマルウェアの亜種が影響を及ぼしている可能性があります。

シンプル

すぐに使えるボットネットキットにより、技術に精通する必要がなくなります。 $14.99〜$19.99で、ボットネットを1か月間リースできます。詳しくはDDoS ブートプログラム/Stresserとは?をご確認ください。

グローバルIoTセキュリティ標準

IoTセキュリティ標準を定義および実施するグローバルエンティティまたはコンセンサスはありません。

一部のデバイスではセキュリティパッチが利用可能ですが、ユーザーは更新するスキルやインセンティブを持っていない場合があります。ローエンドデバイスの多くのメーカーは、メンテナンスを一切提供していません。メンテナンスがあっても、多くの場合、長期的ではありません。また、更新プログラムのメンテナンスが終了すると、デバイスを使用停止にする方法がないため、無期限にセキュリティが低下します。

グローバルな法執行機関

ボットネットクリエーターの追跡と訴追が困難なため、ボットネットの拡散を封じ込めることは困難です。対応する調査スキルを備えた、サイバー犯罪に関する国際的なInterpolに相当するもの(国際刑事警察機構)はありません。世界中の法執行機関は、最新の技術に関しては一般的にサイバー犯罪者に追いつくことができません。

多くのボットネットは、マルウェアのダウンロードやフィッシングサイトのホストに使用するドメインを隠すために、Fast Fluxと呼ばれるDNS技術を採用しています。これにより、追跡や削除が非常に難しくなります。

ボットネット感染はIoTデバイスのパフォーマンスを低下させますか?

させるかもしれません。時々、感染したデバイスのパフォーマンスが低下するかもしれませんが、ほとんどの場合、意図したとおりに機能します。所有者には、感染を一掃する方法を見つける大きな動機がありません。

補遺

カリフォルニア州知事ジェリー・ブラウンに提出された法案は、IoTデバイスが「デバイスの性質と機能に適した」合理的なセキュリティ機能を持っていることを義務付けています。これは2020年1月に発効します。

この法律が重要な理由は?カリフォルニアの市場は利益が非常に高く、企業が無視することは不可能です。カリフォルニアで販売したい場合は、デバイスのセキュリティを改善する必要があります。これはすべての州に利益をもたらします。