露Kaspersky Labは2月21日(現地時間)、同社のグローバル調査分析チーム(GReAT)におけるセキュリティ・リサーチャーがWindows環境下でマルウェア「Mirai」を拡散する新たなマルウェアを解析し、2017年だけで約500システムへの攻撃を確認したと発表した。同社は、新マルウェアの作成者を中国語話者であると想定している。
新マルウェアの開発者は、2016年後半のMiraiによる大規模なDDoS攻撃を実行した攻撃者よりも高度なスキルを備えていると考えられており、Miraiをベースとした攻撃の今後の利用と標的に関して、憂慮すべき可能性を示しているという。
Windows環境下で動作するMirai拡散を目的とした新マルウェアは、元のMiraiコード・ベースよりも機能が豊富で堅牢だが、拡散プログラム自体のコンポーネント・技術・機能の大半は数年前のものとのこと。
Miraiマルウェアを拡散させる能力は限定的といい、総当たり攻撃でTelnet接続ができた場合に、感染したWindowsプラットフォームから脆弱なLinuxベースのIoTデバイスにMiraiマルウェアを配信するという。
このような制限はあるものの、このコードは経験豊富な開発者が作成したことが明らかであり、Mirai関連の経験は比較的浅いと同社は推測している。ソフトウェア内の言語の手がかりや、コードが中国語のシステムでコンパイルされ、ホスト・サーバが台湾で管理されていた事実、中国企業から窃取したコード・サイニング証明書の悪用などから、開発者が中国語話者である可能性を示しているという。
同社の測定データでは、2017年に入り約500のシステムがこのWindowsボットからの攻撃を受けている。攻撃の第2段階に関わるIPアドレスの位置情報から判断すると、特に攻撃を受けやすい国は、コネクテッド・テクノロジーに莫大な投資を行っている新興市場であるインド、ベトナム、サウジアラビア、中国、イラン、ブラジル、モロッコ、トルコ、マラウイ、アラブ首長国連邦(UAE)、パキスタン、チュニジア、ロシア、モルドバ、ベネズエラ、フィリピン、コロンビア、ルーマニア、ペルー、エジプト、バングラデシュなどとしている。
同社のプリンシパル・セキュリティ・リサーチャーであるコート・バウムガートナー氏は「WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態であり、その開発者のスキルが高いことも懸念すべき点です。2011年にバンキング型トロイの木馬Zeusのソースコードが公開されたことで、オンライン・コミュニティは何年間にもおよぶ問題を抱えることになりました。2016年に公開されたMiraiマルウェアのソースコードも、インターネットに同様の影響を与えるでしょう。洗練されたスキルと技術を持つ経験豊富な攻撃者達は、無償で手に入るMiraiのコードを活用しようとしています。Miraiマルウェアを拡散するWindowsボット・ネットは、新しいデバイスやネットワークにMiraiを拡散できるようになっています。これは始まりにすぎません」と述べている。
同社は、CERTやホスティング・プロバイダ、ネットワーク・オペレータと連携し、相当数の指令サーバを閉鎖することによって、インターネットのインフラにとっての危険度を増すこの脅威に対抗しているという。
指令サーバを首尾よく迅速に閉鎖することで、急拡大するIoTベースのボット・ネットがもたらすリスクや混乱を最小限に抑えられるとしている。同社は自社の経験と、世界のCERTやプロバイダとの関係を利用し、こうした取り組みを促進している。