Miraiとは?

Miraiは、Linux上で動作するマルウェアで、Linuxで動作しているコンピュータに侵入して、そのコンピュータをリモートコントロールされるボットにする。また、その感染したLinuxコンピュータのターゲットは、主に監視カメラ、ホームルーター、DVR(録画用装置)などのコンシューマ・デバイスとなる。

ボットネットの構造としては、感染したLinuxコンピュータは一次感染ロボットであり、そのロボットは、実際にDDoS攻撃を実施する二次感染ロボット(監視カメラ、録画装置、プリンターなど)をインターネット上で探し続けることになる。

Miraiボットネットを利用したDDoS攻撃としては、2016年9月20日のBrian KrebsのWebサイト、フランスのホスティングサービス事業者であるOVH、そして、2016年10月にはDyn社が被害を受けた。

2016年9月末には、Miraiのソースコードが公開されたので、そのツールの使い方がわかる人であれば、誰でも同じことができ、他のDDoS攻撃に利用されることが想定されている。

Miraiのスペック

Miraiに感染したコンピュータは、継続して、インターネット上のIoTデバイスをスキャンしていくが、Miraiは、感染対象から外すためのサブネットマスクのテーブルを持っており、それには、アメリカの郵便公社と国防総省が含まれている。

Miraiは脆弱なIoTデバイスを特定すると、その製品が工場出荷時に持っているデフォルトのユーザーネームとパスワードを使用してログインして、そのデバイスに感染する。ただし、Miraiに感染した機器は、それまでと変わらずに動作するため、感染が気づかれることはなく、時々動作が遅くなったり、また、その機器が使用する回線のトラフィックがやや大きくなる程度である。

感染したデバイスは、再起動すると、Miraiは一旦消えるが、IDとパスワードが変更されない限り、起動後にすぐに再感染する。

世界中に100万台以上の出荷時の設定のままのIoT機器があるため、非常に感染しやすくなっている。一旦感染すると、その機器は、C&Cサーバーを監視するようになり、C&Cサーバーの指示に従い、攻撃に参加するようになる。

Miraiが大量のIoTデバイスを利用する目的は、一つは、従来タイプのアンチDoSソフトウェアをバイパスするためであると考えられている。アンチDoSソフトウェアは、特定のIPアドレスからの大量のリクエストなどをブロックするが、Mirai型では、1台毎のリクエストは通常のものと見分けがつかないため、ブロックすることが難しい。

Miraiを使用した攻撃

2016年9月20日に発生したBrian KrebsのWebサイトへの攻撃では、最大で620Gbpsを記録し、それまで、Brian KrebsのWebサイトを保護していたAkamaiは、その攻撃に対応が難しくなったため、Brian KrebsのWebサイトを彼らのAnti DDoSサービスから切り離した。

10月21日には、DNSサービスを提供しているDyn社への攻撃により、Twitter、Amazon、GitHub、Reddit、Netflixなどの著名なサービスが一時的に利用できなくなった。