編集部からのお知らせ
コロナ禍とIT投資
「ニューノーマルとIT」新着記事一覧

10万ノードのボットネット「BCMUPnP_Hunter」、ルータ悪用しスパムメール--研究者報告

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2018-11-08 14:03

 約10万台のルータで構成された新しいボットネットが、この2カ月間で密かに拡大しているという。現時点で得られている証拠によると、ボットネットの運用者は、感染したルータを利用してウェブメールサービスに接続しているとみられ、大規模なスパムメール攻撃を仕掛けている可能性が高い。

 中国のセキュリティ企業Qihoo 360の「Netlab」チームが9月に発見したこのボットネットは、2013年にDefenseCodeのセキュリティ研究者によって発見されたBroadcom UPnPに存在する脆弱性を悪用しているという。

 この脆弱性により、攻撃者は、認証を行う必要なく、脆弱なリモートのルータで悪意あるコードを実行できる。インターネットに接続された機器の世界に存在する最悪な種類の脆弱性だ。

 これまでにいくつかのボットネットがこの脆弱性を悪用してきたが、Netlabはこの最新のボットネットに「BCMUPnP_Hunter」という名称を付けた。

 Netlabの研究者によると、この2カ月の間に、BCMUPnP_Hunterによるスキャンが337万以上のIPで行われているのを確認したが、1日あたりのアクティブな機器はたいてい10万台前後だという。被害は世界各国に及んでいるが、感染したルータが特に集中しているのは、インド、中国、米国の3カ国だ。

提供:Qihoo 360 Netlab
提供:Qihoo 360 Netlab

 規模が大きいことのほか、この新しいボットネットは、現在稼働している大半のIoTボットネットとも異なっているようだ。現在のボットネットの多くは、ネットに流出したソースコードなどを利用しているが、この点で、BCMUPnP_Hunterはまったく新しいボットネットだ。

 ボットネットのソースを分析したNetlabの研究者の1人であるHui Wang氏は、「検索エンジンで調べても、似たようなコードは見つからなかった」と述べている。

 Wang氏はさらに、現地時間11月7日に公開した技術報告書の中で、ボットネットの複数段階にわたる複雑な感染の仕組みを取り上げている。

 Wang氏によると、BCMUPnP_Hunterは、複数段階にわたる感染プロセスを完了し、脆弱な機器に足掛かりを得ると、それを利用して他の脆弱なルータを探すという。このボットネットは、感染したルータをプロキシノードとして利用し、ボットネットの運用者からリモートのIPへの接続を中継する。

 報告書の執筆時点で、BCMUPnP_Hunterが接続しているIPであるとNetlabが確認したものは、米Yahoo、Outlook、HotmailのようなウェブメールサービスのものだとWang氏は述べている。

Qihoo 360 Netlab
提供:Qihoo 360 Netlab

 攻撃者はBCMUPnP_Hunterが構築したこのプロキシネットワークを利用して、スパムを送っている可能性が高いと判断したとNetlabは述べている。

ボットネット

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]