MIRAI|サイバーセキュリティ.com

MIRAI

MIRAI(ミライ)は、IoT(Internet of Things)デバイスをターゲットとしたマルウェアの一種で、2016年に発見されました。MIRAIは、感染したデバイスをボットネット(Botnet)に組み込み、大規模な分散型サービス拒否攻撃(DDoS攻撃)を実行するために設計されています。このマルウェアの特徴は、セキュリティ対策が不十分なIoTデバイスを効率的に悪用する点です。

MIRAIは、特定のポートで動作している脆弱なIoTデバイスをスキャンし、デフォルトの管理者パスワードや簡易なパスワードを使用してデバイスを乗っ取ります。乗っ取られたデバイスは、攻撃者の指示を受けて他のターゲットに対するDDoS攻撃に加担します。

MIRAIの特徴

1. IoTデバイスを標的

MIRAIは、ネットワークカメラ、ルーター、デジタルビデオレコーダー(DVR)など、IoTデバイスを主な感染対象としています。これらのデバイスはセキュリティ対策が不十分な場合が多いため、簡単に感染します。

2. デフォルト認証情報の悪用

デバイスの管理画面に設定されたデフォルトのユーザー名とパスワードを使用して、侵入を試みます。これにより、多くの未保護デバイスが感染します。

3. ボットネットの構築

感染したIoTデバイスをボットネットに組み込み、攻撃者の指示で大量のトラフィックを生成することで、ターゲットのサーバーやネットワークを過負荷状態にします。

4. 分散型DDoS攻撃

MIRAIボットネットは、ターゲットのサーバーやウェブサイトをダウンさせるために大規模なDDoS攻撃を実行します。攻撃トラフィックは、HTTPリクエスト、TCP/UDPパケットなど、多様な形式で発生します。

5. 自己拡散機能

感染したデバイスはネットワーク内の他のIoTデバイスをスキャンし、MIRAIを拡散します。この自己増殖機能により、短期間で大規模なボットネットが形成されます。

MIRAIの主な被害事例

1. DynへのDDoS攻撃(2016年)

MIRAIを使用した攻撃の中で最も有名なのが、DNSプロバイダ「Dyn」に対するDDoS攻撃です。この攻撃により、Twitter、Netflix、GitHub、Redditなどの大手ウェブサイトが一時的に利用不能となりました。

2. KrebsOnSecurityへの攻撃

セキュリティリサーチャーのBrian Krebsが運営するウェブサイト「KrebsOnSecurity」は、MIRAIによる620Gbpsを超えるDDoS攻撃を受け、一時的にダウンしました。

3. L3 Communicationsの被害

MIRAIボットネットによる攻撃は、通信プロバイダや大手企業に対する複数の事例が報告されています。

MIRAIの動作の仕組み

  1. スキャン MIRAIは、インターネット上のデバイスを無作為にスキャンし、既知のポート(例:23番、2323番など)で開いているデバイスを特定します。
  2. 侵入 デフォルトの認証情報や一般的なパスワード(弱いパスワードリスト)を使用して、デバイスにログインします。
  3. 感染 侵入後、MIRAIはデバイスのリソースを占有し、自身のペイロードをインストールします。感染後のデバイスは、攻撃者のC&C(コマンド&コントロール)サーバーに接続します。
  4. 攻撃指令 攻撃者はC&Cサーバーを通じて、感染デバイスに対してDDoS攻撃を実行するよう命令します。
  5. 自己増殖 感染したデバイスは他のデバイスをスキャンし、MIRAIを拡散します。

MIRAIへの対策

1. IoTデバイスのセキュリティ強化

  • デフォルトのユーザー名とパスワードを変更する。
  • 強力なパスワードを設定する。
  • 不要なリモートアクセスを無効化する。

2. ネットワーク設定の見直し

  • 管理ポートへのアクセスをファイアウォールで制限する。
  • UPnP(Universal Plug and Play)を無効にする。
  • IoTデバイスを専用のセグメントに隔離する。

3. デバイスファームウェアの更新

  • 定期的にデバイスのファームウェアを更新し、最新のセキュリティパッチを適用する。

4. 異常なトラフィックの検出

  • IDS/IPS(侵入検知システム/侵入防御システム)を活用して、異常なネットワーク活動を検出する。

5. デバイスの監視

  • 使用しているIoTデバイスを定期的に監視し、不審な動作がないか確認する。

MIRAI感染後の対応

  1. デバイスの隔離 感染が疑われるデバイスをネットワークから切り離します。
  2. デバイスの初期化 感染したIoTデバイスを工場出荷時の設定にリセットします。
  3. 再設定 セキュリティ設定(パスワード変更、リモートアクセスの無効化など)を再構成します。
  4. 専門家への相談 深刻な被害が発生している場合は、セキュリティ専門家に対応を依頼します。

まとめ

MIRAIは、IoTデバイスの脆弱性を悪用する危険なマルウェアであり、大規模なボットネットを形成してDDoS攻撃を行います。その影響は広範囲に及び、インターネット全体の安定性に重大な影響を与えることがあります。

IoTデバイスのセキュリティを強化し、適切なネットワーク設定を行うことで、MIRAIによる感染リスクを大幅に軽減できます。感染後の対応や監視を徹底することも、被害拡大を防ぐために重要です。


SNSでもご購読できます。