IoTデバイスに対する脅威、ドイツテレコムで発生したネット接続不能事件の顛末
「Mirai」ボットネットがルータ90万台の奪取に失敗、Rapid7が解説
2016年12月02日 07時00分更新
11月27日、ドイツのISPであるドイツテレコム(Deutsche Telekom)において、同社顧客が設置するDSLモデム/ルータ「Speedport」約90万台がネット接続不能になる事件が発生した。この事件は、IoTデバイスの脆弱性を狙う「Mirai」ボットネットによる攻撃が引き起こしたもの、という説が有力だ。
もっとも、この攻撃は結果的に「失敗」に終わったようだ。Miraiを操る攻撃者は何を狙っていたのか、われわれは今後どんな脅威に注意すべきなのか。11月30日、脆弱性管理製品などを扱うセキュリティベンダーのRapid7が記者説明会を開催した。
Miraiはルータの脆弱性を突き、ボットネットへの取り込みを狙った
Miraiボットネットは、脆弱なIoT機器に感染するマルウェア「Mirai」によってボット化(攻撃者の手先として操られるマシン)された、数十万台規模のデバイス群のことだ。9月20日に著名なセキュリティジャーナリスト、ブライアン・クレブス氏のブログを襲った最大620GbpsのDDoS攻撃で使用され、その後攻撃ツールのソースコードも公開されたことで注目を集めている。
今回のドイツテレコム顧客を狙った攻撃では、Speedport(Speedport W 921V/W 723V Type B/W 921 Fiber)でファームウェア管理や機器の診断などを実施するSOAPサービス(TR-069)にコマンドインジェクションの脆弱性があり、それがMiraiボットネットに狙われた、という見方が主流だ。Speedportは、ザイクセルの「D1000」DSLモデムをドイツテレコム向けにリブランドしたもので、このD1000に脆弱性があるという報告が、セキュリティリサーチャーによって11月7日に公開されていた。
この事件の発生直後、Rapid7では同社のハニーポットフレームワーク「Heisenberg」において、このSOAPサービスが利用する7547/TCPポートへの不正なSOAP HTTP POSTリクエストを調査した。その結果、4日間(11月26~29日)で6万3000を超えるユニークなIPアドレスから、不正なリクエストが発信されていることを確認した。事件当日の27日にいたっては、最大3万5000件以上のリクエストが発生していたという。
ただし、Rapid7の共同創業者兼CTOのタス・ジークミナキス氏は、今回の事件はMiraiにとっては「誤算だった」と説明する。
「攻撃者の本来の目的は、SpeedportをMiraiボットネット配下に取り込むことだったと思われる。それがルータのアーキテクチャ上うまくいかず、オフライン化しただけで終わった。現在、この脆弱性を突くMiraiの攻撃は急速に減少している。攻撃者も失敗と認めているのだろう」(ジークミナキス氏)
Dyn DNSサービスへのDDoS攻撃もハニーポットで観測
今回は失敗に終わったが、Miraiボットネットは新旧さまざまな脆弱性を利用しながら、配下のボット台数を拡大している。
Miraiボットネットの威力は絶大だ。10月21日には、Miraiを使ってDNSサービス大手のDynに対する大規模なDDoS攻撃が実行され、TwitterやSpotifyなどの人気サービスが約6時間にわたってダウンしている。効果の高さを確信したボットネット事業者によるボットの奪い合いも発生していると、ジークミナキス氏は語る。
Rapid7がHeisenbergハニーポットで検出した、10月22日前後のMiraiボットネットによるDynへのDDoS攻撃は、下のグラフに現れているとおり、22日になって急増している。なお、このグラフにある6つのクラウド事業者は、Heisenbergに参加する事業者であり、253台で構成されるハニーポットネットワークはグローバルに散在している。
なお、Miraiボットネットのトラフィック量を国別で見ると、トップ3はベトナム、中国、ブラジルだ。1日のユニークなセッション数は平均5000、最大で7000発生している。日本からのトラフィックはごく少ないものの、「分析開始した10月19日時点でボットは55台だったが、10月29日には71台に微増していることを確認している」(ジークミナキス氏)とのこと。
「Miraiの登場で攻撃のトレンドは一変した」と述べるジークミナキス氏は、今後も脅威動向に注視していくと述べた。