ボットネットDDoS2016年〜現在

Mirai（ミライ）とは

Miraiは2016年に登場したIoT機器（監視カメラ・ルーター・DVRなど）を標的とするマルウェアです。感染したIoT機器を「ボット」として操り、史上最大規模のDDoS攻撃を引き起こしました。ソースコードが公開されたことで無数の亜種が生まれ、現在も世界中で猛威を振るっています。

1. Miraiの概要と特徴 2. 感染の仕組み 3. ボットネットとDDoS攻撃 4. 主な被害事例 5. 亜種・派生マルウェア 6. 対策・予防方法 7. 感染した場合の対応

1. Miraiの概要と特徴

Miraiの名前は日本語の「未来」に由来します。作者はアニメファンだったとされています。 Miraiの最大の特徴はPCやスマートフォンではなく、セキュリティ対策が手薄なIoT機器を標的にした点です。

▸ IoT機器を標的

監視カメラ・ルーター・DVR・プリンターなど、セキュリティ対策が弱いIoT機器に感染する

▸ 大規模ボットネット

感染したIoT機器を遠隔操作し、数十万台規模のボットネットを形成する

▸ デフォルト認証情報を悪用

出荷時のデフォルトID・パスワードを辞書攻撃で試し、変更されていない機器に侵入する

▸ ソースコード公開

2016年にソースコードが公開され、世界中で亜種が作られ続けている

2. 感染の仕組み

MiraiはIoT機器に自動的に感染を広げます。そのプロセスは以下の通りです。

STEP 1

スキャン

インターネット上のランダムなIPアドレスに対してTelnet（ポート23・2323）接続を試みる

STEP 2

辞書攻撃

62種類のデフォルトID・パスワードの組み合わせを試し、ログインに成功した機器を特定する

STEP 3

感染

C&Cサーバーに報告し、マルウェア本体をダウンロード・実行して機器を乗っ取る

STEP 4

待機・攻撃

C&Cサーバーからの指示を待ち、DDoS攻撃命令が来ると標的に大量のパケットを送りつける

STEP 5

再スキャン

感染した機器からさらに新たなIoT機器へのスキャンを繰り返し、ボットネットを拡大する

3. ボットネットとDDoS攻撃

Miraiが形成するボットネットは、従来のPCベースのものと異なり、数十万台規模になりえます。 IoT機器は24時間稼働していることが多く、安定した攻撃基盤となります。 2016年のピーク時には約60万台のIoT機器がMiraiに感染していたと推定されています。

Miraiボットネットの攻撃規模

最大攻撃規模

1.2 Tbps（テラビット毎秒）当時の世界記録を大幅に更新

感染台数（推定）

約60万台監視カメラ・DVRが大半を占めた

攻撃の種類

SYN flood・DNS flood・GRE flood複数の攻撃手法を組み合わせて使用

4. 主な被害事例

2016年9月セキュリティ研究者 Brian Krebs のサイト

620Gbpsという当時最大規模のDDoS攻撃を受け、サイトが一時停止。Miraiによる攻撃として初めて大きく注目された。

2016年9月フランスのホスティング企業 OVH

1.1Tbpsという記録的な規模のDDoS攻撃を受けた。攻撃には14万5千台のIoT機器が使用された。

2016年10月DNS事業者 Dyn（米国）

Miraiボットネットによる大規模DDoS攻撃でDNSサービスが停止。Twitter・Netflix・Reddit・AmazonなどのWebサービスが数時間にわたってアクセス不能になった。

2016年11月ドイツ・Deutsche Telekom

Miraiの亜種により約90万台のルーターが感染し、インターネット接続障害が発生した。

5. 亜種・派生マルウェア

2016年10月にソースコードが公開されたことで、多数の亜種が生まれました。

Satori

2017年登場。Miraiをベースにゼロデイ脆弱性を組み込んだ亜種。数日で数十万台に感染した。

Okiru

2018年登場。ARCプロセッサを搭載したIoT機器を標的にした初のマルウェア。

Masuta

2018年登場。EternalBlueを組み込んだ亜種。Windows機器にも感染を広げた。

Echobot

2019年登場。50以上の脆弱性を組み込んだ高度な亜種。IoT以外の機器も標的にする。

Mozi

2019年登場。P2Pネットワークを使用してC&Cサーバーを持たない設計を採用。検出・遮断が困難。

6. 対策・予防方法

最重要IoT機器のデフォルトパスワードを必ず変更する

最重要Telnet（ポート23）を無効化する。リモート管理が不要な場合は完全に無効にする

推奨IoT機器のファームウェアを定期的にアップデートする

推奨IoT機器をインターネットに直接接続せず、ファイアウォールの内側に置く

推奨不要なポートやサービスを無効化する

組織向けDDoS対策サービス（Cloudflare・AWS Shield等）を導入する

組織向けネットワーク監視でIoT機器からの異常な通信を検知する

7. 感染した場合の対応

⚠ IoT機器の感染が疑われる場合

1.感染が疑われる機器をネットワークから切断する

2.機器を工場出荷状態にリセットする

3.リセット後、すぐにデフォルトパスワードを変更する

4.ファームウェアを最新バージョンにアップデートする

5.Telnetなど不要なサービスを無効化してから再接続する

6.同じネットワーク内の他のIoT機器も同様に確認・対処する

※ Miraiはメモリ上で動作するため、再起動すると一時的に除去されます。ただし再起動後も脆弱な状態のままでは再感染するため、必ずパスワード変更・ファームウェア更新を行ってください。

まとめ

Miraiは「IoT機器のデフォルトパスワードを変えない」という単純な問題を突いて、インターネット史上最大規模のDDoS攻撃を実現させました。ソースコードの公開により亜種が増え続けており、IoTセキュリティの重要性は今後ますます高まります。 IoT機器を使用する際は、購入直後のパスワード変更とファームウェア更新を徹底することが最大の防御です。