約10万台のルータで構成された新しいボットネットが、この2カ月間で密かに拡大しているという。現時点で得られている証拠によると、ボットネットの運用者は、感染したルータを利用してウェブメールサービスに接続しているとみられ、大規模なスパムメール攻撃を仕掛けている可能性が高い。
中国のセキュリティ企業Qihoo 360の「Netlab」チームが9月に発見したこのボットネットは、2013年にDefenseCodeのセキュリティ研究者によって発見されたBroadcom UPnPに存在する脆弱性を悪用しているという。
この脆弱性により、攻撃者は、認証を行う必要なく、脆弱なリモートのルータで悪意あるコードを実行できる。インターネットに接続された機器の世界に存在する最悪な種類の脆弱性だ。
これまでにいくつかのボットネットがこの脆弱性を悪用してきたが、Netlabはこの最新のボットネットに「BCMUPnP_Hunter」という名称を付けた。
Netlabの研究者によると、この2カ月の間に、BCMUPnP_Hunterによるスキャンが337万以上のIPで行われているのを確認したが、1日あたりのアクティブな機器はたいてい10万台前後だという。被害は世界各国に及んでいるが、感染したルータが特に集中しているのは、インド、中国、米国の3カ国だ。
提供:Qihoo 360 Netlab
規模が大きいことのほか、この新しいボットネットは、現在稼働している大半のIoTボットネットとも異なっているようだ。現在のボットネットの多くは、ネットに流出したソースコードなどを利用しているが、この点で、BCMUPnP_Hunterはまったく新しいボットネットだ。
ボットネットのソースを分析したNetlabの研究者の1人であるHui Wang氏は、「検索エンジンで調べても、似たようなコードは見つからなかった」と述べている。
Wang氏はさらに、現地時間11月7日に公開した技術報告書の中で、ボットネットの複数段階にわたる複雑な感染の仕組みを取り上げている。
Wang氏によると、BCMUPnP_Hunterは、複数段階にわたる感染プロセスを完了し、脆弱な機器に足掛かりを得ると、それを利用して他の脆弱なルータを探すという。このボットネットは、感染したルータをプロキシノードとして利用し、ボットネットの運用者からリモートのIPへの接続を中継する。
報告書の執筆時点で、BCMUPnP_Hunterが接続しているIPであるとNetlabが確認したものは、米Yahoo、Outlook、HotmailのようなウェブメールサービスのものだとWang氏は述べている。
提供:Qihoo 360 Netlab
攻撃者はBCMUPnP_Hunterが構築したこのプロキシネットワークを利用して、スパムを送っている可能性が高いと判断したとNetlabは述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。