Mirai ボットネット マルウェア: Definition, Impacts & Evolution

Mirai マルウェアは、赤ちゃんの監視やドアベルなどの接続されたデバイスを、ハッカーがリモートで制御できる軍隊に変えます。 いわゆるMiraiボットネットは、一度に数日間、Webサイト、サーバー、およびその他の主要な資産をダウンさせることができます。

2016年10月に発生した大規模なサイバー攻撃は、Miraiマルウェアに関連しています。 しかし、脅威は終わっていません。みらいウイルスの変異は今も続いています。

Miraiボットネットとは?

Miraiボットネットは、インターネットアドレスに接続できるデバイスで構成されています。 各デバイスは、攻撃を指示する中央サーバーに到達します。

この脅威のピースを分解してみましょう。

• デバイス: 接続されたモノのインターネット(IoT)デバイスは、オペレーティングシステムが簡素化されており、インターネットに接続できます。 多くの場合、工場出荷時にプリセットされたユーザー名とパスワードで出荷され、所有者が変わることはほとんどありません。
• 感染症： IoT デバイスには、開いている Telnet ポートがあります。Mirai マルウェア開発者は、これらの開いているポートを検索し、デフォルトとしてよく使用される 61 のユーザー名/パスワードの組み合わせでログインを試みます。
• マルウェア: ログインが完了すると、デバイスはマルウェアをダウンロードして実装します。
• ボットネット: マルウェアを搭載したすべての IoT デバイスは、ハッカーによって設定された目標に集合的に機能するネットワーク(またはボットネット)の一部です。

Mirai ボットネットの最初のイテレーションは、DDoS 軽減会社概要の 2 人のオーナーによって作成された金儲けのワームでした。 要するに、彼らはターゲットに感染させ、その後、同じ攻撃からの「保護」に対して所有者に支払うように求めたのです。

このアイデアは Minecraft によって引き起こされました。プレイヤーはホストされたサーバーにログオンし、仮想世界に参加している間、ゲーム時間を長くするために現実世界で購入します。ホスティングサーバーをオフラインにすると、数千ドルの損失が発生する可能性があります。被害者は 、オンラインにとどまるためにお金を払うことをいとわなかった。

しかし、Miraiボットネットの開発者は、攻撃対象領域を拡大し始めました。 Minecraftの現実を支配するために使われたアイデアとして始まったものは、ほとんどすべての人を傷つけることができるツールになりました。

Mirai マルウェアはどのように機能しますか?

IoTデバイスがMiraiマルウェアに感染すると、IT部門は選択した被害者に対して小さな攻撃を開始することができます。しかし、何千もの IoT デバイスが感染した場合、その影響を無視することは不可能です。

感染した IoT デバイスでは、次のことができます。

• アクセス。 デバイスは、指示のために中央サーバーにアクセスします。その後、IT部門は指定されたサーバーへのアクセスを何度も要求し始めます。
• 再感染します。 デバイスの電源を切ることは、攻撃とマルウェアを阻止することを意味する可能性があります。ただし、ポートが開いたままの場合、問題は新しいソースコードで再発します。
• 支配する。 デバイス上の他のマルウェアはすべて削除されるため、Mirai マルウェアのみが実行されます。
• 非表示。IoTの所有者は、わずかな遅延に気付くかもしれませんが、それ以上のことは何もありません。

Mirai マルウェアは 、2016年10月のサイバー攻撃に関与していました。 ボットネットは、 DNS サービスを提供するDunのウェブサイトに目を向けました。 この会社概要は、Wiredなどの有名ウェブサイトをホストしていました。 IoTデバイスによる圧倒的なトラフィックによりITがダウンしたとき、東海岸の大部分もダウンしました。週末は、接続性が欠如しているため、会社全体が閉鎖されました。

当局が関与し、Miraiボットネットの開発者はパニックに陥りました。 自分たちの身を守るために急いで、 Miraiのソースコードを公開しました。開発者は、コードへの広範なアクセスが彼らを保護できることを期待していました。 要するに、誰もがコードを知っていて、他の場所からITを入手したと主張することができました。

残念ながら、コードをリリースしたため、これらの攻撃は何らかの形で永遠に続くことが保証されます。

みらいボットは時間とともに変化します

ソースコードがリリースされるとすぐに、ハッカーたちは微調整、調整、実験を始めました。彼らが起動した攻撃は壊滅的でした。

たとえば、2017年には、新しい亜種により、開発者は強力なパスワードで保護された家庭用ルーターに感染することができました。 専門家がITを発見したとき、ボットネットは 推定100,000のデバイスに含まれており、 developer が指示を出したときには、すべてのデバイスの準備が整っていました。

これは多くの例の1つにすぎません。IoTデバイスが少しでも安全でないままである限り、より多くのバリアントが出現する可能性があります。

なぜMiraiボットネットを止められないのですか?

私たちはMiraiマルウェアがどのように機能するかを知っています、そして私たちはデバイスが私たちに害を及ぼす可能性があることを理解しています。 根絶は合理的な次のステップのように思われますが、残念ながら、それを達成するのは困難です。

Miraiワームは、次の理由で持続します。

• 消費者の関心が低い。 感染したデバイスでもそれなりに機能し、IT部門がIT部門のオーナーにリスクをもたらすことはありません。 人々は、機能しているように見えるアイテムについて何かを変更する必要があるとは感じていません。
• メーカーのコンプライアンスが不十分です。 コストの問題により、ほとんどの製造会社概要 はセキュリティへの投資を妨げています。 デバイスを削ぎ落とせば削るほど、価格帯は低くなります。
• 包括的な政府の洞察はありません。 一部の州では、IoT セキュリティに関する法律があります。たとえば、カリフォルニア州では、IoT デバイスに一意のパスワードを付けて出荷するか、メーカーがユーザーにパスワードを設定するように要求する必要があります。しかし、広範なコンプライアンスを確保する連邦法や世界的な法律はありません。
• スキルが不十分です。 一部の会社概要は、デバイスのセキュリティパッチを提供しています。 しかし、接続されたデバイスにそれらを適用する方法がわからない人もいれば、これらのパッチが存在することを知らない人もいます。

コネクテッドデバイスと不十分なセキュリティ対策が蔓延する世界に住んでいる限り、Miraiの脅威は続く可能性があります。

みらいワームを止めるために何ができますか?

Mirai マルウェアはデバイス メモリに保存されます。 通常、ITのプラグを抜き、しばらくそのままにしておくことで、デバイスを再起動するだけで、進行中の攻撃を止め、デバイスをクリーンアップするのに十分です。

ただし、デバイスのユーザー名とパスワードを変更しない限り、再感染する可能性があります。再起動したらすぐに、これらの設定を変更します。保護の可能性を最大限に高めるために、頻繁に繰り返します。これらの手順にどう対処すればよいかわからない場合は、デバイスのメーカーにお問い合わせください。

製造元が ファームウェアの更新プログラムをインストールすることを期待しないでください。セキュリティ設定の自動変更により、デバイスが中間者攻撃に対して脆弱になる可能性があります。

参考文献

みらいワームの作者であるアンナ先輩は誰ですか?(2017年1月)。セキュリティに関するクレブス。

ボットネット「Mirai」 IoT ソースコードを公開しました。 (2016年10月)。セキュリティに関するクレブス。

金曜日の東海岸の大規模なインターネット障害について私たちが知っていること。(2016年10月)。ワイヤード。

ルーター 0-day 上に構築された 100,000 の強力なボットネットは、いつでも攻撃される可能性があります。(2017年12月)。アルステクニカ。

IoTメーカー:カリフォルニア州のIoT法について知っておくべきこと。（2020年1月、ナショナルローレビュー。

Leaked Mirai マルウェアは、 IoT Insecurity の脅威レベルを高めます。 (2016年10月)。セキュリティ インテリジェンス。