「Mirai」のコードでIoTデバイスをゾンビ化させる「Satori」ボットネット

 死から蘇るゾンビのように、マルウェア「Mirai」の残骸からまた新たなボットネットが生まれています。特に、新手の攻撃者がMiraiのソースコードの一部を再利用し、「Satori」と呼ばれる急速に進化しているボットネットに命を吹き込んでいるのです。そして今、Satoriが自分のゾンビを作り出すようになりました。このボットネットが、インターネットに接続されたデバイスを乗っ取り、それらを遠隔で一斉操作できる忠実なボットネットの軍隊に仕立てていることが確認されたのです。

 現時点において、Satoriは未完成のボットネットですが、そのことはこのボットネットが急速に進化していることも意味しています。Satoriは、俊敏性は生き残ることと同意であることを理解しています。なぜなら、Satoriがセキュリティ対策に適応し、繰り返し進化していることが確認されているからです。かつて、Satoriが利用していたメインのC&Cサーバーは研究者によって消去されたこともありましたが、このボットネットは直ぐに再び出現しました。

 そのため、このボットネットがこれまでになく強化されて舞い戻ってきたことは当然とも言えます。現在のバージョンは、さまざまなIoTデバイスで使われているARCプロセッサ関連のソフトウェアを標的としていることが確認されています。Satoriは、IoTデバイスに弱点を見つけると、デフォルトの設定が変更されているか確認し、変更されていないマシンのコントロール権限を得ます。その上で、さらに広域のネットワークに接続し、そこに存在する他のデバイスもコントロールします。今のところ、少数のデバイスをコントロール下に置くことにしか成功していませんが、十分な規模まで拡大すれば、Satori軍団を召集し、スパムメールの大量配信や企業ウェブサイトの無効化、さらにはインターネットそのものの大部分を崩壊させてしまうかもしれません。

 一見したところSatoriは、Miraiのコードを利用するだけでなく、その手口にも倣っているようです。Satoriのやり口は、あの悪名高い「Mirai」によるDDoS攻撃を連想させます。しかし、私たちもMiraiの教訓に倣って、Satoriによる攻撃の可能性に備えることができます。何よりもまず、IoTデバイスの所有者は、今すぐデフォルト設定を変更しなければなりません。これは必須のセキュリティ対策ですが、多くのユーザーが実施しないため、Miraiによる攻撃が可能になっています。デフォルト設定を変更した上で、外部からのTelnetアクセスを無効にし、遠隔操作が必要であればSSHを使用してください。ただし、これはメーカーの責任でもあります。メーカー側が、こうした設定をデフォルトで強制するべきです。ユーザーとベンダーがこうした簡単なセキュリティ対策に従えば、Satoriの成長を防ぎ、Miraiに触発された攻撃の野望を完全に抑えることができるでしょう。

Satoriボットネットなどの詳細については、Twitterで@McAfee@McAfee_Labsをフォローしてください。

※本ページの内容は、201829日更新のMcAfee Blogの内容です。

原文:Satori Botnet Turns IoT Devices Into Zombies By Borrowing Code from Mirai
著者:Christiaan Beek

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。