死から蘇るゾンビのように、マルウェア「Mirai」の残骸からまた新たなボットネットが生まれています。特に、新手の攻撃者がMiraiのソースコードの一部を再利用し、「Satori」と呼ばれる急速に進化しているボットネットに命を吹き込んでいるのです。そして今、Satoriが自分のゾンビを作り出すようになりました。このボットネットが、インターネットに接続されたデバイスを乗っ取り、それらを遠隔で一斉操作できる忠実なボットネットの軍隊に仕立てていることが確認されたのです。
現時点において、Satoriは未完成のボットネットですが、そのことはこのボットネットが急速に進化していることも意味しています。Satoriは、俊敏性は生き残ることと同意であることを理解しています。なぜなら、Satoriがセキュリティ対策に適応し、繰り返し進化していることが確認されているからです。かつて、Satoriが利用していたメインのC&Cサーバーは研究者によって消去されたこともありましたが、このボットネットは直ぐに再び出現しました。
そのため、このボットネットがこれまでになく強化されて舞い戻ってきたことは当然とも言えます。現在のバージョンは、さまざまなIoTデバイスで使われているARCプロセッサ関連のソフトウェアを標的としていることが確認されています。Satoriは、IoTデバイスに弱点を見つけると、デフォルトの設定が変更されているか確認し、変更されていないマシンのコントロール権限を得ます。その上で、さらに広域のネットワークに接続し、そこに存在する他のデバイスもコントロールします。今のところ、少数のデバイスをコントロール下に置くことにしか成功していませんが、十分な規模まで拡大すれば、Satori軍団を召集し、スパムメールの大量配信や企業ウェブサイトの無効化、さらにはインターネットそのものの大部分を崩壊させてしまうかもしれません。
一見したところSatoriは、Miraiのコードを利用するだけでなく、その手口にも倣っているようです。Satoriのやり口は、あの悪名高い「Mirai」によるDDoS攻撃を連想させます。しかし、私たちもMiraiの教訓に倣って、Satoriによる攻撃の可能性に備えることができます。何よりもまず、IoTデバイスの所有者は、今すぐデフォルト設定を変更しなければなりません。これは必須のセキュリティ対策ですが、多くのユーザーが実施しないため、Miraiによる攻撃が可能になっています。デフォルト設定を変更した上で、外部からのTelnetアクセスを無効にし、遠隔操作が必要であればSSHを使用してください。ただし、これはメーカーの責任でもあります。メーカー側が、こうした設定をデフォルトで強制するべきです。ユーザーとベンダーがこうした簡単なセキュリティ対策に従えば、Satoriの成長を防ぎ、Miraiに触発された攻撃の野望を完全に抑えることができるでしょう。
Satoriボットネットなどの詳細については、Twitterで@McAfeeや@McAfee_Labsをフォローしてください。
※本ページの内容は、2018年2月9日更新のMcAfee Blogの内容です。
原文:Satori Botnet Turns IoT Devices Into Zombies By Borrowing Code from Mirai
著者:Christiaan Beek