米ネットを襲う未曾有のDDoS。アンナ先輩が野に放った「Mirai」という名の魔物

米ネットを襲う未曾有のDDoS。アンナ先輩が野に放った「Mirai」という名の魔物 1

この「下ネタという概念が存在しない退屈な世界」のアンナ・錦ノ宮のアイコンを使う謎のハッカーが、恐ろしいものを解き放ってしまいました。

あのKrebsブログを潰した史上最強DDoS攻撃の犯人とされるマルウェア「Mirai」のソースコードが公開されて1週間。数千万件ものIPアドレスが21日朝、DNS大手プロバイダー「Dyn」を直撃し、米全土でネットが瀕死状態となりました。

TwitterもAmazonもNetflixもSpotifyも総崩れとなり、第1波が去ったと思ったら、すぐさま第2波が来るという執拗さ。ターゲット不在の全方位的な総当たり攻撃で、もはや2011年のアノニマス軍団のDDoSとは規模もレベルも違います。FBIと国土安全保障省(DHS)が全力を挙げて犯人の特定を急いでいますが、その動機をめぐっては…

・ウィキリークスに出たクリントン文書の隠ぺい工作

毎度のロシア

などなど、いろんな説が出回っています。

攻撃パターン

狙われたDynは、ユーザーがURLを入力すると、そのIPアドレスを教えてくれるDNSサーバーです。つまりサイトがダウンしたかのように見えて、その実、サイトはピンピンしてるんです。単にアドレスを割り振る中継局にゴミリクエストが大量投下されてパンク状態となり、誰もサイトに行けなくなった、というのが今回の攻撃の特徴です。

このゴミリクエスト大量投下=DDoSでは、先月のセキュリティ記者ブログの攻撃と同じボットネット「Mirai」も使われていました。「Mirai」(英語ではマライに聞こえる)はIoT機器の脆弱性に巣食うボットネットで、プリンター、カメラ、その他ネットでつながる端末という端末を乗っ取り、武器に変えてしまう、未来もへたくれもない化け物です。

直前に「Mirai」公開

ちょうど14日、そのソースコードが英語のハックコミュニティ「Hackforums」でネットに公開されたばかりでした。公開したのは「Anna-senpai」という匿名ユーザーです。

これについて先月潰されたKrebsブログのブライアン・クレブ(Brian Krebs)記者はこう書いています。

「DDoS業界は入ったときから、長居する場所じゃないなと思っていた」とアンナ先輩は語っている。「まとまったお金もできたし、IOTに世の中の関心が向いてきたので、そろそろGTFO[訳注:ゲット・ザ・ファック・アウト、足を洗う]かな。というわけで本日、みんなにリリースすることにした。Miraiだと普通は、テルネットだけで38万個のボットが調達できるよ。でもKreb[s]のDDoS以来、ISPがじわじわと閉め出しを始めたので、今は最大30万個で、どんどん数は減ってる」

公開後あちこちで模倣犯が拡散し、ネット全体が不安定になっている、というわけです。

IoT奴隷化の2大勢力

Level 3社のDale Drew CTOによると、現在Miraiに感染している機器はおよそ50万~55万台と推定され、そのうち10%が金曜のDDoSに駆り出されていました。

IoT機器を乗っ取り、意のままにDDoS攻撃に駆り出すマルウェア。今の2大勢力はこのMiraiとあとひとつ、Bashlightです。Bashlightのほうはすでに100万台近いIoT端末を奴隷化し、Miraiに迫る勢いで、しかもおんなじIoT端末に両方巣食っていたりします。

どっちとも端末を再起動するとあっけなく削除されるんですが、脆弱性の穴を四六時中スキャンして侵入してくるので、ものの数分で再感染します。それを食い止めるには、パスワードの変更しかないようですよ? 「ネットが死んだって関係ねー」なんて思わずに、ここはひとつ、ネット接続機能を備えた端末はデフォルトのパスワードで放置せずしっかり変更して、みんなでネットを守っていかなくちゃ、ですね。

ちなみにMirai開発者がネットにソースコードを晒した動機についてですが、クレブス記者は警察が嗅ぎ回って身辺が怪しくなったので、発生源を特定されないようにぶち撒けたんじゃないか、と話しています。

image: Hackforums via KrebsOnSecurity
source: PC World, KrebsOnSecurity-1, 2

(satomi)