トレンドマイクロは5月11日、新型のIoTマルウェア「PERSIRAI」(ペルシライ)への注意を呼び掛けた。ネットワークカメラを標的にしており、世界で約12万台のカメラが危険な状態にあることが分かった。
同社によると、PERSIRAIはソースコードが公開されたIoTマルウェア「Mirai」の派生として出現した。中国メーカーがOEM製造する「WIFICAM」をベースにした多数のネットワークカメラ製品を標的にしているとされる。同社が4月下旬にインターネット接続されている機器を検索できる「Shodan」で調査した結果、PERSIRAIに感染する恐れのある機器が12万2069台見つかった。地域別では中国が約2割を占め、日本国内にも3.33%が存在しているもようだ。
「PERSIRAI」に感染の恐れがあるネットワークカメラの国別の割合(出典:トレンドマイクロ)
PERSIRAIの感染拡大を狙う攻撃者は、TCPポート81経由で脆弱なネットワークカメラの管理画面へのアクセスを試みる。ログインに成功すると、コマンドインジェクションを実行して、ネットワークカメラをウェブサイトに接続。ウェブサイトから複数のコマンドが実行され、その後にシェルスクリプトがダウンロードされる。さらに複数のファイルがダウンロードされ、PERSIRAIは自身のファイルを削除して機器のメモリ上でのみ活動し、感染した機器をボット化する。
ボット化されたネットワークカメラは、他の機器へ感染を広げたり、UDPフラッドによる分散型サービス妨害(DDoS)攻撃を仕掛けたりする。またPERSIRAIは、感染した機器で自身が利用した脆弱性をブロックし、他のIoTマルウェアに侵害されてしまうのを防ぐ機能もあるという。
同社が確認した、ボット化されたネットワークカメラが接続するC&Cサーバのイランの国コード「.IR」が利用され、マルウェア作者が特定のペルシャ文字を使っていることも判明したという。製造元からは、脆弱性を解決したとされるファームウェアが提供されているものの、トレンドマイクロの分析では脆弱性が残されたままだった。
同社は、IoTマルウェアの多くが、パスワードが初期設定のままの機器を標的にしており、機器の管理者やユーザーには初期設定のパスワードをできるだけ早く強化なものに変更する必要があると指摘する。ただ、機器によってはパスワードを窃取されてしまう脆弱性を抱えている場合があり、機器のポートが外部のインターネットに開放されないようルータの設定を変更するといった対策も必要だと解説している。