Huawei(ファーウェイ)のルータを標的として実行可能なエクスプロイトコードが、あるハッカーによってホリデーシーズン中に公開された。このコードは、同ルータを標的にしたい、あるいはボットのネットワークを増強したいと考えているサイバー攻撃者に対して無償で公開された。同コードは「Satori」ボットネットによって実際に利用されている。
NewSky SecurityのプリンシパルリサーチャーであるAnkit Anubhav氏によると、このエクスプロイトコードはホリデーシーズン中にPastebinに投稿されたという。
日本語の「悟り」に由来する名前を持つSatoriはまったく新しいマルウェアというわけではなく、 IoT機器などに感染する、より悪名高い「Mirai」ボットネットの亜種だ。しかし最近、複数の強大なボットネットワークを作成するために用いられたことで、ニュースの見出しを飾った。
Miraiの一般的な亜種は、IoT機器の脆弱性をスキャンし、デフォルトの認証情報を用いる一方、SatoriはHuaweiの機器に存在する「CVE-2017-17215」を含む既知の脆弱性を悪用する。
NewSky Securityによると、同マルウェアコードはSatoriボットネットだけではなく、「Brickerbot」ボットネットでも用いられているという。Satoriが使用する実行可能コードが公開されたことで、コピー&ペーストでボットネットを作成する人々や、スクリプトキディがそれを利用するようになるとしている。
CVE-2017-17215は、Huaweiの家庭用ルータ「HG532」に存在する脆弱性であり、ローカルネットワーク設定の貧弱な実装によって作り込まれたものだ。攻撃者はこの脆弱性を悪用することで、Satoriマルウェアをペイロードとして送り込むなどの行為を含む、同機器に対する攻撃や遠隔地からのコード実行が可能になる。
この脆弱性はCheck Pointのリサーチャーらによって米国時間2017年11月27日にHuaweiに直接連絡された。なお、Huaweiはその後、同脆弱性への対策を公開している。
こうした対策を適用していない製品は、依然としてこの攻撃に対する脆弱性を抱えており、新たなボットネットワークに同化される可能性がある。
Anubhav氏は、「IoT攻撃は日々、モジュール化の一途をたどっている。IoTエクスプロイトが自由に利用できるようになってしまえば、攻撃者がそのエクスプロイトを自らのボットネットコード内の攻撃ベクタの1つとして準備、実装するまでにさほど時間はかからない」と述べている。
Check Pointのリサーチャーらは、このコードの背後には「Nexus Zeta」と呼ばれるハッカーがいると確信している。このハッカーはHack Forumsへの最近の投稿で、Miraiボットネットのコンパイル方法に興味を示していた。ただ現在のところ、同コードのリリースとの直接的な関係は確認されていない。
Miraiボットネットは、ウェブサイトやソーシャルメディアプラットフォーム、金融機関のネットワークなどに対する破壊的な分散型サービス妨害(DDoS)攻撃を引き起こしている。この史上まれに見るボットネットによって、ボットネットがいかに強大な力を持ち得るのかが示された。
提供:File photo
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。