「Mirai」のコードでIoTデバイスをゾンビ化させる「Satori」ボットネット

 死から蘇るゾンビのように、マルウェア「Mirai」の残骸からまた新たなボットネットが生まれています。特に、新手の攻撃者がMiraiのソースコードの一部を再利用し、「Satori」と呼ばれる急速に進化しているボットネットに命を吹き込んでいるのです。そして今、Satoriが自分のゾンビを作り出すようになりました。このボットネットが、インターネットに接続されたデバイスを乗っ取り、それらを遠隔で一斉操作できる忠実なボットネットの軍隊に仕立てていることが確認されたのです。

 現時点において、Satoriは未完成のボットネットですが、そのことはこのボットネットが急速に進化していることも意味しています。Satoriは、俊敏性は生き残ることと同意であることを理解しています。なぜなら、Satoriがセキュリティ対策に適応し、繰り返し進化していることが確認されているからです。かつて、Satoriが利用していたメインのC&Cサーバーは研究者によって消去されたこともありましたが、このボットネットは直ぐに再び出現しました。

 そのため、このボットネットがこれまでになく強化されて舞い戻ってきたことは当然とも言えます。現在のバージョンは、さまざまなIoTデバイスで使われているARCプロセッサ関連のソフトウェアを標的としていることが確認されています。Satoriは、IoTデバイスに弱点を見つけると、デフォルトの設定が変更されているか確認し、変更されていないマシンのコントロール権限を得ます。その上で、さらに広域のネットワークに接続し、そこに存在する他のデバイスもコントロールします。今のところ、少数のデバイスをコントロール下に置くことにしか成功していませんが、十分な規模まで拡大すれば、Satori軍団を召集し、スパムメールの大量配信や企業ウェブサイトの無効化、さらにはインターネットそのものの大部分を崩壊させてしまうかもしれません。

 一見したところSatoriは、Miraiのコードを利用するだけでなく、その手口にも倣っているようです。Satoriのやり口は、あの悪名高い「Mirai」によるDDoS攻撃を連想させます。しかし、私たちもMiraiの教訓に倣って、Satoriによる攻撃の可能性に備えることができます。何よりもまず、IoTデバイスの所有者は、今すぐデフォルト設定を変更しなければなりません。これは必須のセキュリティ対策ですが、多くのユーザーが実施しないため、Miraiによる攻撃が可能になっています。デフォルト設定を変更した上で、外部からのTelnetアクセスを無効にし、遠隔操作が必要であればSSHを使用してください。ただし、これはメーカーの責任でもあります。メーカー側が、こうした設定をデフォルトで強制するべきです。ユーザーとベンダーがこうした簡単なセキュリティ対策に従えば、Satoriの成長を防ぎ、Miraiに触発された攻撃の野望を完全に抑えることができるでしょう。

Satoriボットネットなどの詳細については、Twitterで@McAfee@McAfee_Labsをフォローしてください。

※本ページの内容は、201829日更新のMcAfee Blogの内容です。

原文:Satori Botnet Turns IoT Devices Into Zombies By Borrowing Code from Mirai
著者:Christiaan Beek

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速