昨秋に大規模なDDoS攻撃を引き起こした「Mirai」の新亜種が、先月から国内で急激に感染を広げているとして、情報通信研究機構(NICTER)や警察庁、JPCERT コーディネーションセンター(JPCERT/CC)などが注意を呼びかけている。国内の感染機器には、ロジテック社製の家庭用ルーターが含まれているという。
Miraiは、ネットワークに接続している機器を乗っ取り、外部から遠隔操作してしまうマルウェア(ウイルス)で、このようなタイプをロボットを略した「ボット」と呼んでいる。昨秋、このMiraiに感染した大量の機器を操り、特定のサーバーに一斉に負荷をかけてサービスを妨害するDDoS(Distributed Denial of Service)攻撃が行われ、事態の深刻さが表面化した。
このMiraiの改造型とみられるマルウェアの感染活動が広がっており、先月から国内の感染機器の活動が観測されているという。NICTERの発表によると、18日現在、感染活動を行っている日本国内の機器が約1万5千あり、現在も右肩上がりで感染が拡大しているように見えるという。現時点では、感染機器が他の機器に感染を広げようとする活動しか見られないようだが、感染機器が悪用されれば、大規模なサイバー攻撃に発展するおそれがある。
■ルーターの脆弱性を突き感染拡大
NICTなどの調査によると、感染の拡大には、一部機器のUPnPn(Universal Plug and Play:ネットワーク機器の自動設定を行う仕組み)にある、コード実行の脆弱性(CVE-2014-8361)が悪用されており、国内の感染機器の多くがロジテック社製のルーター製品の一部であることが確認されたという。
該当するのは、同社の300Mbps無線LANブロードバンドルータおよびセットモデル全11モデル。「LAN-WH300N」で始まる型番の機種で、同社では、2013年6月から2014年10月にかけて、問題を修正したファームウェア(機器内のソフトウェア)の提供を開始している。該当機種を使用していて、最新のファームウェアを適用していない場合には、感染する可能性があるので、早急にアップデートを行っていただきたい。該当機種やアップデート方法については、同社の「重要なお知らせとお願い」をご覧いただきたい。
なお、問題の脆弱性は、ロジテック社製品固有のものではなく、リアルテック社のチップを使用している多くの製品に影響する。同社製品以外でも、脆弱性が未修正で、なおかつUPnPnがインターネット側から制御できる場合には、感染の可能性があるので注意したい。この機会に、使用しているルーターに最新のファームウェアが適用されているいるかどうかを、ぜひ確認していただきたい。
ルーターは、家庭のインターネット回線に直接接続された小型の機器で、国内のほとんどの家庭に設置されている。無線LANの親機を兼ねていることも多く、家庭内の複数の端末からインターネットを利用できるようになっている場合には、ほぼ間違いなくルーターが設置されている。
(2017/12/20 ネットセキュリティニュース)
【関連URL】
・日本国内におけるIoTマルウェアの感染拡大事象をNICTERで観測[PDF](情報通信研究機構)
http://www.nicter.jp/report/2017-01_mirai_52869_37215.pdf
・脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について(警察庁)
https://www.npa.go.jp/cyberpolice/important/2017/201712191.html
・Mirai 亜種の感染活動に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2017/at170049.html
・国内における Mirai 亜種の感染急増 (2017年11月の観測状況)
https://sect.iij.ad.jp/d/2017/12/074702.html
<ロジテックからの重要なお知らせとお願い>
・ロジテック製300Mbps無線LANブロードバンドルータおよびセットモデル(全11モデル)に関する重要なお知らせとお願い
http://www.logitec.co.jp/info/2017/1219.html