Mirai ボットネットは、世界最大級のウェブサイトの多くにアクセス不能にした DDoS 攻撃に関与してから 1 年以上経った現在も、依然として活動し続けています。
DNSプロバイダーのDynは、2016年10月に約10万台のMiraiに感染した機器がMiraiをブロックしたと見積もっている。セキュリティ評価会社SecurityScorecardが火曜日に発表した調査によると、最初のリリースから1年が経過した現在でも、Miraiボットネットの感染は依然として広がっている。
SecurityScorecardは、2017年7月から9月にかけて、公共インターネット上で、Mirai IoTマルウェアに感染した組み込みデバイスに見られる症状を示すIPv4アドレスを34,062件特定しました。これは、2016年8月1日から2017年7月31日までの間に、Mirai IoTマルウェアに感染したIoTデバイスのIPv4アドレスが184,258件であったことと対照的です。
ボットネットはより小さく、より断片化されているにもかかわらず、依然としてインターネット衛生に脅威を与えています。
他のセキュリティ専門家もこの評価を支持している。Miraiゾンビの数が減少しているのは、感染リスクが最も高いDVRデバイスなどにユーザーがパッチを適用するなど、IoTセキュリティの向上とは無関係かもしれない。
英国のセキュリティコンサルタント会社Pen Test Partnersのケン・マンロー氏は、「ボットネットが小規模である主な理由は、Miraiが永続的ではないためだと考えています。感染は再起動すると消えてしまいます。MiraiはXiongMaiベースのDVRを攻撃しますが、これは非常に不安定で、認証なしでリモートから簡単に再起動できます。」と述べています。
「その結果、ボットネット管理者 1 人が単一の大規模ボットネットを作成することはできません。DVR はランダムに再起動し、その後再びボットネットを乗っ取る競争が発生します。」
マンロー氏によると、最近の他の IoT ボットネット、特に Reaper は、セキュリティに対するさらに大きなリスクをもたらします。
Dynへの攻撃に先立ち、情報セキュリティ専門家のブライアン・クレブス氏のウェブサイトへの攻撃があり、その後、ドイツテレコムとトークトークのルーターに対してMiraiの亜種を使ったDDoS攻撃が続きました。これらの不正行為はすべて昨年発生しました。IoTデバイスをプラットフォームとして利用する、注目を集めるDDoS攻撃がなぜこれほどまでに続いていないのかは、いささか不可解です。被害の可能性が依然として高いことが、その理由の一つです。
例えば、先月、セキュリティ研究者のトロイ・マーシュ氏とニール・クラウェッツ博士は、EnGeniusルーターで構成されたMiraiに似たボットネットを発見しました。マーシュ氏はEl Regに対し、2月以降、ネットワーク内で9万台のドローンを確認したと述べています。
Miraiのソースコードは、Dyn DDoS攻撃の約3週間前の2016年10月初旬に流出しました。これにより、模倣ボットネットの育成の扉が開かれました。
状況はどうですか?
SecurityScorecard の Mirai 状況報告では、IoT マルウェアに感染したデバイスの最新分析が提供されています。
SecurityScorecardのデータによると、2017年第3四半期にMiraiの亜種の影響を最も受けたのは教育業界であり、エネルギー、製造、エンターテインメント、金融サービス業界を上回った。
Miraiの業界セクター別スプレッドの円グラフ [出典: SecurityScorecard]
2017年第3四半期のMirai活動の影響を最も受けた国はメキシコで、中国、米国、ブラジル、トルコを上回っています。
Miraiボットネットの拡散地図
メキシコにおける Mirai 感染の蔓延は、モノのインターネットに特化した地域専用通信サービスが最近利用可能になったことなど、IoT システムを展開する取り組みの副産物である可能性が高い。®
