最終更新 2023年7月
<解決>Miraiウイルス感染の無料診断サービス 0.13%確認乗っ取り危険
管理の行き届いていない ルーター の安全性は大丈夫?
Mirai ウイルス感染? ブロードバンドルーター乗っ取り危険!
OS に Linux を採用した世界中の IoT機器 をターゲットに感染攻撃を行うコンピュータウイルス (マルウェア) の 1 つ Mirai (読み方 ミライ) の脅威が確認されているそうです。
- Mirai ウイルスの設計図
2016 年に海外のフォーラムにてソースコードが公開された
→ オープンソースなので派生の Mirai ウイルス亜種 が継続して投入される - Mirai ウイルスの制作者
2017 年に Mirai ウイルスの開発に関与した人物 3 名が米国で摘発されている
2023年第1四半期版DDoS脅威レポート - Cloudflarehttps://blog.cloudflare.com/ja-jp/ddos-threat-report-2023-q1-ja-jp/
DDoS 攻撃 (分散サービス妨害攻撃) は、Web サイトなどのインターネットサービスを処理しきれないほどのトラフィックで圧倒し、サービスを中断して正規のユーザーが利用できないようにすることを目的としたサイバー攻撃の一種です。第 1 四半期に見られた大規模な攻撃としては、南米の通信事業者を狙った 1.3Tbps (テラビット毎秒) のDDoS 攻撃があります。攻撃はわずか 1 分程度のものでした。この攻撃は、DNS と UDP の攻撃トラフィックを含むマルチベクトル攻撃であり、2 万人規模の Mirai 亜型ボットネットから発信された複数のテラビット級の攻撃を含む、より広範なキャンペーンの一部でした。攻撃トラフィックの多くは、米国、ブラジル、日本、香港、インドから発信されたものでした。これまで、大規模なボットネットは、スマートセキュリティカメラなどの悪用可能なIoTデバイスを利用して攻撃を仕掛けていました。各IoTデバイスのスループットは限られていますが、数十万から数百万台のデバイスを組み合わせることで、標的を妨害するのに十分なトラフィックを生成することができます。
Linux 対象のコンピュータウイルス…?
意外なことに、自宅にある身近な IoT機器 が Mirai ウイルス亜種に感染して乗っ取られうるから深刻です。
サイバー攻撃に悪用されうる IoT機器の例 |
---|
管理の行き届いていない ブロードバンドルーター |
インターネットから接続できる状態の 防犯カメラ・監視カメラ 映像録画機 DVR (デジタルビデオレコーダー) に感染 |
乗っ取り被害を許す原因 ・ 製品の管理画面にアクセスするパスワードが初期値で単純すぎる ・ 製品を動作させるファームウェアの更新作業を怠っている |
0.13%で検知! Mirai ウイルス感染確認方法
PC の場合、セキュリティソフトで Mirai ウイルスを検知できそうな気がするけれど、スキャンできる対象は PC に内蔵されている SSD や HDD、外部接続のストレージ だけなので無理です。
そこで、IoT機器に危険性がないか確認してくれる無料診断サービス 「am I infected?」 の登場です!
あなたの家のルーターが危ない (横浜国立大学)
https://amii.ynu.codes/
https://amii.ynu.codes/
am I infected? は、横浜国立大学 情報・物理セキュリティ研究拠点が運営するマルウェア感染 ・ 脆弱性診断サービスです。
近年、家のルーターやウェブカメラなどの IoT機器を狙ったサイバー攻撃が急増しており、あなたのご自宅のルーターも感染している危険性があります。本サービスでセキュリティリスクについて、検査することが可能です。
自宅などの屋内に設置されたブロードバンドルーター (有線・無線) を介してインターネットに接続している、次の端末から診断サービスを使うことができます。
- Windows パソコン
- Mac
- Android スマートフォン
- iPhone
- タブレット
この無料診断サービス 「am I infected?」 は、目の前のパソコンや手元のスマホの中身を調べる仕組みではなく、接続したIP アドレスに対して問題が存在しないか外部から診断を実行するそうです。
パソコンやスマホの中にあるプライベートな情報、ファイルの流出といったリスクは考えられず安心です。
■ 診断結果の送信にEメールアドレス必要
無料診断サービス 「am I infected?」 を利用するには、有効なEメールアドレスの送信が必須 です。
数分後 (5分ぐらい?) に診断結果の URL 情報がEメールで通知されてくるので、「使い捨てEメールアドレス」 でも大丈夫。
【診断結果のEメール例】〔Eメール件名〕 【am I infected?】検査結果のお知らせ
〔送信者〕 <~@ynu.ac.jp> ← 横浜国立大学のドメイン名
「am I infected?」をご利用いただき、ありがとうございます。
お使いのルーターの検査が完了いたしました。
【検査日時】
●/●/● ●:●
【検査結果・再検査用ページ】
以下のリンクにアクセスしていただくと、検査結果の詳細を見ることが出来ます。
対策を行って再検査をしたい場合は、このリンクから再検査するようお願いいたします。
https // amii.ynu.codes/results/ ~
※もし本メールにお心当たりがない場合は、お手数ですが破棄していただけますようお願いします。
【診断結果のメッセージ】
あなたのIoT機器は
◎ 問題は見つかりませんでした
本サービスの検査範囲では、マルウェア感染や、脆弱性、セキュリティ不備は確認されませんでした。
■ 0.13% でウイルス感染が判明
「am I infected?」 のウェブサイトで公開されている報告書によると、無料診断サービスの利用者のうち 0.13%、つまり検査しにきた 1,300人に 1人ぐらい の割合で IoT機器のウイルス感染が判明したそうです。
マルウェア感染・脆弱性事例とユーザーの対応状況
「am I infected?」 をリリースした 2022年2月24日 から 2022年10月26日 現在までのユーザー数は 80,815 人となりました。
およそ 8 万人のユーザーの内、検査でマルウェア感染が検知されたユーザーは 107人 (0.13%)、脆弱性が検知されたユーザーは 311人 (0.38%) であり、脆弱性が発見された機器の種類としてルータ、NAS (ネットワークHDD)、Web カメラ、ファイアウォールが確認されています。
Wi-Fi ブロードバンドルータ乗っ取りの脅威
この項目は 「サイト接続の安全性を確認しています」 の事案とは離れるけれど、人間ではなく 〔悪意のあるボットからのリクエスト〕 として候補になるのが、身近にある IoT機器 です。
2023年第1四半期版DDoS脅威レポート - Cloudflarehttps://blog.cloudflare.com/ja-jp/ddos-threat-report-2023-q1-ja-jp/
DDoS 攻撃 (分散サービス妨害攻撃) は、Web サイトなどのインターネットサービスを処理しきれないほどのトラフィックで圧倒し、サービスを中断して正規のユーザーが利用できないようにすることを目的としたサイバー攻撃の一種です。2023年第 1 四半期に見られた大規模な攻撃としては、南米の通信事業者を狙った 1.3Tbps (テラビット毎秒) のDDoS 攻撃があります。攻撃はわずか 1 分程度のものでした。この攻撃は、DNS と UDP の攻撃トラフィックを含むマルチベクトル攻撃であり、2 万人規模の Mirai 亜型ボットネットから発信された複数のテラビット級の攻撃を含む、より広範なキャンペーンの一部でした。攻撃トラフィックの多くは、米国、ブラジル、日本、香港、インドから発信されたものでした。これまで、大規模なボットネットは、スマートセキュリティカメラなどの悪用可能なIoTデバイスを利用して攻撃を仕掛けていました。各IoTデバイスのスループットは限られていますが、数十万から数百万台のデバイスを組み合わせることで、標的を妨害するのに十分なトラフィックを生成することができます。
具体的に、ボットとして悪用されうる IoT機器は。。。
危険! サイバー攻撃に悪用されうる IoT機器 |
---|
管理の行き届いていない ブロードバンドルーター (Wi-Fi ルーター、無線 LAN ルーター) |
インターネットから接続できる状態の 防犯カメラ や 監視カメラ └ 映像を記録して保存する DVR デジタルビデオレコーダー機器 |
乗っ取り被害を許す原因 ・ 製品の管理画面にアクセスするパスワード文字列が単純 ・ 製品を動作させるソフトウェア (ファームウェア) の更新を怠っている |
乗っ取られた IoT機器が影響して 〔正当なトラフィックを装う可能性〕 と判定されると、この 「サイト接続の安全性を確認しています」 の認証は突破できないはずです。
■ 日本からサイバー攻撃に加担する IoT機器あり
〔悪意のあるボットからのリクエスト〕 なんて、どこか外国のお話?
いえいえ、広く知られているマルウェア 「Mirai 亜種」 に感染した 国内の IoT機器 を攻撃者が遠隔操作で制御し、サイバー攻撃に意図せず加担する問題が日本で報告されています。
Mirai 亜種の感染活動に関する注意喚起 - JPCERTコーディネーションセンター
https://www.jpcert.or.jp/at/2017/at170049.html
2017年11月ごろより、国内において Mirai の亜種による感染活動が確認されています。Mirai やその亜種などのマルウエアに感染した機器は、ボットネットに取り込まれ、攻撃者により遠隔から命令をうけて、DDoS 攻撃などに悪用される可能性があります。
JPCERT/CC、情報通信研究機構 (NICT)、警察庁等の調査により、感染の拡大のメカニズムに、既知の脆弱性が悪用されていることが確認されています。また、調査の結果、感染に至っている機器の多くに、ロジテック株式会社製ブロードバンドルータの一部製品が含まれていることも確認されています。
DVR 機器への感染を狙う攻撃の観測 - 情報通信研究機構
https://blog.nicter.jp/2022/10/analysis-of-ddos-bot-targeting-dvrs/
IoT機器を攻撃対象とする DDoS ボットへの感染活動のうち、韓国の FOCUS H&S が製造する防犯カメラ用デジタルビデオレコーダー (以下 DVR) を狙った攻撃の観測結果を紹介します。
FOCUS H&S 社は DVR の製造を行う韓国の企業です。本調査では、国内販売代理店の一つであるユニモテクノロジー株式会社から販売されていた機器およびファームウェアを用いて脆弱性の調査や実機に対する攻撃観測を行いました。
FOCUS H&S 社製 DVR は 2019年に Mirai に感染した韓国国内のホストとして観測していましたが、当時はホスト数が少なく、感染機器の特定には至らず、その後は経過観察の状況が続いていました。しかし、2022年の4月以降、日本国内において FOCUS H&S 社製 DVR を含む、Mirai に感染した韓国製の DVR 機器が目立つようになりました。