10月28日(米国時間)、Threatpostに掲載された記事「Mirai Vulnerability Disclosed, But Exploits May Constitute Hacking Back|Threatpost|The first stop for security news」が、先日、大規模なインターネットダウンを招いたマルウェア「Mirai」そのものに脆弱性が存在しており、この脆弱性を突くことで逆にボットネットをダウンさせることが可能だと指摘した。しかし、その行為は法的にグレーゾーンに位置している可能性があるという。
真意は不明だが、主にIoTデバイスを対象として感染を続けてボットネットを構築するマルウェア「Mirai」はそのソースコードが公開されている。Invinceaのセキュリティ研究者らはソースコードを精査した結果、3つの脆弱性が存在していると指摘。そのうちの1つはHTTPレスポンスを処理するコードに問題があるとしており、この脆弱性を突けばMiraiの生成するサブプロセスの1つを終了させることが可能だとしている。
これを実現する方法は簡単とされており、HTTPリクエストに対するHTTPレスポンスに想定されていないデータを含めるだけでよい。HTTPのコンテキスト的にはあり得ないレスポンスとなるが、HTTPプロトコルとしての問題はないとされている。このため、この仕組みを使えばMiraiベースのボットネットから実施されるHTTP攻撃に対し、逆にボットネットを動作不能に追い込む防壁のような動作を行うことが可能になる。
しかし記事では、このアクティブデフェンスは法的にグレーである可能性があると指摘。米国CFAA(Computer Fraud and Abuse Act、コンピュータ不正行為防止法)ではこうした行為は違法に相当する可能性があるとしている。研究者らはこの行為が合法であるか違法であるかについては言及していないが、それがもたらす結果については説明している。こうしたアクティブデフェンス行為が合法であるか違法であるかは今後議論が必要な分野になってくると見られる。