時代の兆し:ミライボットネットがデジタルサイネージやプロジェクターに感染するよう微調整

Table of Contents

時代の兆し:ミライボットネットがデジタルサイネージやプロジェクターに感染するよう微調整

ボットネットマルウェア Mirai の亜種が出現し、インターネットに接続された組み込みデバイスのより広範なセットを標的にしています。

パロアルトネットワークスのユニット42の研究者は今週、悪名高いモノのインターネット感染者の亜種が、情報や広告を表示するように設計されたテレビやプロジェクターのほか、通常のブロードバンドルーター、ネットワーク接続ストレージボックス、IP対応カメラやデジタルビデオレコーダーを乗っ取ろうとしていると述べた。

このマルウェアは、強力な分散型サービス拒否(DDoS)攻撃と2016年と2017年の急速な拡大で最もよく知られており、以前は主に保護が不十分な消費者向けIoTデバイスを中心に拡散していました。2016年にはソースコードが漏洩し、悪意のあるユーザーが独自のソフトウェアマルウェアを仕掛けることが可能になりました。

この最新型のMiraiは、ファームウェアの脆弱性を悪用してWePresentプロジェクター、D-Linkビデオカメラ、LGデジタルサイネージTV、Netgear、D-Link、Zyxelのルーターを侵害し、遠隔操作可能なボットネットに引き込もうとします。こうして乗っ取られた機器は、遠隔から他のデバイスを見つけて感染させたり、DDoS攻撃を開始したり、その他の悪意ある行為を行うよう指示されます。

「特に、Unit 42は、WePresent WiPG-1000ワイヤレスプレゼンテーションシステムとLG Supersignテレビを標的とするこの新しい亜種を発見しました」と研究者らは述べています。「これらのデバイスはどちらも企業での使用を目的としています。この展開は、Miraiが企業を標的とする方向にシフトしている可能性を示唆しています。」

Unit 42によると、この新しいマルウェアには合計27個のエクスプロイトが備わっており、そのうち11個はMiraiで初めて発見されたもので、8個はこれまで実環境で使用されたことがなかったものです。標的となったセキュリティ上の欠陥はすべて既知であり、パッチも存在します。完全なリストについては上記のリンクをご覧ください。これらのエクスプロイトは主に、標的デバイスのWebベースのユーザーインターフェースのセキュリティホールを狙って、ボットネットクライアントをダウンロードして実行する任意のコマンドを実行します。

Unit 42のバグハンターによると、企業デバイスを標的とする目的は、単に新しいボットを入手することだけではない可能性がある。企業のネットワーク接続は一般家庭よりも優れていることが多いため、企業デバイスに感染させることで、マルウェア運営者はより広い帯域幅を利用できるようになる。つまり、ボットネット運営者が狙った標的に、より多くのデータを集中的に送信できるようになるのだ。

このアプローチの欠点は、企業は通常、マルウェア攻撃を迅速に検知し、システムをロックダウンしてしまうことです。しかし、パッチ適用の少ないハードウェアを狙うことで、攻撃者は検知を逃れられると考えるかもしれません。

ペンギンのメインディッシュ軍団 - つまようじで刺した黒オリーブ、ニンジン、モッツァレラボール

Miraiを使ってLinuxボットネットを構築しようとしているマルウェアスカム

続きを読む

「IoT/Linuxボットネットは、多数のデバイスを標的とした複数のエクスプロイトを組み込むか、ブルートフォース攻撃の対象となるデフォルトの認証情報のリストを追加するか、またはその両方によって、攻撃対象領域を拡大し続けている」とユニット42のルクナ・ニガム氏は述べた。

さらに、企業の脆弱性を狙うと、消費者向けデバイスのリンクよりも帯域幅が広いリンクにアクセスできる可能性があり、DDoS攻撃の威力が増します。

Unit 42は、企業に対し、ルーター、サイネージ、監視カメラなどのネットワーク接続機器を含むすべてのデバイスファームウェアが最新であることを確認することを推奨しています。悪用される脆弱性はゼロデイ脆弱性ではないようで、パッチも提供されているため、アップデートによって標的のバグをブロックできます。®

Discover More