IoTマルウェア「ペルシライ」出現、脆弱なネットワークカメラが約12万台も

ZDNET Japan Staff

2017-05-11 17:39

 トレンドマイクロは5月11日、新型のIoTマルウェア「PERSIRAI」(ペルシライ)への注意を呼び掛けた。ネットワークカメラを標的にしており、世界で約12万台のカメラが危険な状態にあることが分かった。

 同社によると、PERSIRAIはソースコードが公開されたIoTマルウェア「Mirai」の派生として出現した。中国メーカーがOEM製造する「WIFICAM」をベースにした多数のネットワークカメラ製品を標的にしているとされる。同社が4月下旬にインターネット接続されている機器を検索できる「Shodan」で調査した結果、PERSIRAIに感染する恐れのある機器が12万2069台見つかった。地域別では中国が約2割を占め、日本国内にも3.33%が存在しているもようだ。


「PERSIRAI」に感染の恐れがあるネットワークカメラの国別の割合(出典:トレンドマイクロ)

 PERSIRAIの感染拡大を狙う攻撃者は、TCPポート81経由で脆弱なネットワークカメラの管理画面へのアクセスを試みる。ログインに成功すると、コマンドインジェクションを実行して、ネットワークカメラをウェブサイトに接続。ウェブサイトから複数のコマンドが実行され、その後にシェルスクリプトがダウンロードされる。さらに複数のファイルがダウンロードされ、PERSIRAIは自身のファイルを削除して機器のメモリ上でのみ活動し、感染した機器をボット化する。

 ボット化されたネットワークカメラは、他の機器へ感染を広げたり、UDPフラッドによる分散型サービス妨害(DDoS)攻撃を仕掛けたりする。またPERSIRAIは、感染した機器で自身が利用した脆弱性をブロックし、他のIoTマルウェアに侵害されてしまうのを防ぐ機能もあるという。

 同社が確認した、ボット化されたネットワークカメラが接続するC&Cサーバのイランの国コード「.IR」が利用され、マルウェア作者が特定のペルシャ文字を使っていることも判明したという。製造元からは、脆弱性を解決したとされるファームウェアが提供されているものの、トレンドマイクロの分析では脆弱性が残されたままだった。

 同社は、IoTマルウェアの多くが、パスワードが初期設定のままの機器を標的にしており、機器の管理者やユーザーには初期設定のパスワードをできるだけ早く強化なものに変更する必要があると指摘する。ただ、機器によってはパスワードを窃取されてしまう脆弱性を抱えている場合があり、機器のポートが外部のインターネットに開放されないようルータの設定を変更するといった対策も必要だと解説している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]