2016年に最初に発見されたMiraiボットネットは、前例のない数のデバイスを乗っ取り、インターネットに甚大な被害をもたらしました。今では戻ってきて、かつてないほど危険になっています。
新しく改良されたMiraiはより多くのデバイスに感染しています
2019年3月18日、セキュリティ研究者は パロアルトネットワークス みらいちゃんが同じ目標をより大規模に達成するために調整され、更新されたことを発表しました。研究者は、Miraiが11の新しいエクスポート(合計27になります)と、試行するデフォルトの管理者資格情報の新しいリストを使用していることを発見しました。一部の変更は、LG SupersignTVやWePresentWiPG-1000ワイヤレスプレゼンテーションシステムなどのビジネスハードウェアを対象としています。
Miraiは、ビジネスハードウェアと指揮官のビジネスネットワークを引き継ぐことができれば、さらに強力になる可能性があります。パロアルトネットワークスの上級脅威研究者であるRuchnaNigamは、 それを置きます :
これらの新機能により、ボットネットは大きな攻撃対象領域になります。特に、エンタープライズリンクをターゲットにすると、より広い帯域幅へのアクセスが許可され、最終的にはDDoS攻撃に対するボットネットの火力が大きくなります。
Miriaのこの亜種は、消費者向けルーター、カメラ、その他のネットワーク接続デバイスを攻撃し続けています。破壊的な目的のために、感染したデバイスが多いほど良いです。皮肉なことに、悪意のあるペイロードは、「電子セキュリティ、統合、およびアラーム監視」を扱うビジネスを宣伝するWebサイトでホストされていました。
MiraiはIOTデバイスを攻撃するボットネットです
覚えていない場合は、2016年にMiraiボットネットがいたるところにあるように見えました。ルーター、DVRシステム、IPカメラなどを対象としました。これらはしばしばモノのインターネット(IoT)デバイスと呼ばれ、サーモスタットのような単純なデバイスが含まれます。 インターネットに接続する 。ボットネットは コンピュータやその他のインターネットに接続されたデバイスのグループに感染する 次に、感染したマシンにシステムを攻撃したり、他の目標に協調して取り組んだりするように強制します。
Miraiは、誰もデバイスを変更しなかったか、製造元がデバイスをハードコーディングしたために、デフォルトの管理者資格情報を持つデバイスを追跡しました。ボットネットは膨大な数のデバイスを引き継ぎました。ほとんどのシステムがそれほど強力ではなかったとしても、機能する膨大な数が連携して、強力なゾンビコンピューターだけで実現できる以上のことを実現できます。
Miraiは50万台近くのデバイスを引き継ぎました。このグループ化されたIoTデバイスのボットネットを使用して、MiraiはXbox LiveやSpotifyなどのサービス、およびBBCやGithubなどのWebサイトを DNSプロバイダー 直接。非常に多くの感染したマシンで、Dyn(DNSプロバイダー)は DDOS攻撃 1.1テラバイトのトラフィックが発生しました。 DDOS攻撃は、ターゲットが処理できる以上の大量のインターネットトラフィックでターゲットを氾濫させることによって機能します。これにより、被害者のWebサイトまたはサービスがクロールされるか、インターネットから完全に削除されます。
Miraiボットネットソフトウェアの元の作成者は 逮捕され、有罪を認め、保護観察期間が与えられた 。しばらくの間、みらいちゃんはシャットダウンされました。しかし、他の悪意のある人物がMiraiを乗っ取り、ニーズに合わせて変更するのに十分なコードが残っていました。今、そこにミライの別の変種があります。
関連: ボットネットとは何ですか?
みらいから身を守る方法
Miraiは、他のボットネットと同様に、既知のエクスプロイトを使用してデバイスを攻撃し、侵害します。また、既知のデフォルトのログイン資格情報を使用してデバイスを操作し、引き継ぐことも試みます。したがって、保護の3つの最良のラインは単純明快です。
常に ファームウェアを更新します (およびソフトウェア)インターネットに接続できる自宅や職場にあるものすべて。ハッキングは猫とマウスのゲームであり、研究者が新しいエクスプロイトを発見すると、パッチが続いて問題を修正します。このようなボットネットはパッチが適用されていないデバイスで繁栄し、このMiraiの亜種も例外ではありません。ビジネスハードウェアを標的とするエクスプロイトは、昨年9月と2017年に特定されました。
関連: ファームウェアまたはマイクロコードとは何ですか?ハードウェアを更新するにはどうすればよいですか?
デバイスの管理者認証情報(ユーザー名とパスワード)をできるだけ早く変更してください。ルーターの場合、これは次の場所で実行できます。 ルーターのウェブインターフェース またはモバイルアプリ(ある場合)。デフォルトのユーザー名またはパスワードでサインインする他のデバイスについては、デバイスのマニュアルを参照してください。
admin、password、または空白のフィールドを使用してログインできる場合は、これを変更する必要があります。新しいデバイスをセットアップするときは、必ずデフォルトの資格情報を変更してください。すでにデバイスをセットアップしていて、パスワードの変更を怠った場合は、ここでそれを行ってください。 Miraiのこの新しい亜種は、デフォルトのユーザー名とパスワードの新しい組み合わせを対象としています。
デバイスの製造元が新しいファームウェアアップデートのリリースを停止したか、管理者の資格情報をハードコーディングしていて、それらを変更できない場合は、デバイスの交換を検討してください。
確認する最良の方法は、製造元のWebサイトから始めることです。デバイスのサポートページを見つけて、ファームウェアの更新に関する通知を探します。最後のものがいつリリースされたかを確認してください。ファームウェアの更新から数年が経過している場合、製造元はおそらくデバイスをサポートしていません。
管理資格情報を変更する手順は、デバイスの製造元のサポートWebサイトにもあります。最近のファームウェアアップデートやデバイスのパスワードを変更する方法が見つからない場合は、おそらくデバイスを交換する時期です。永続的に脆弱なものをネットワークに接続したままにしたくありません。
デバイスの交換は大胆に思えるかもしれませんが、脆弱な場合は、それが最善の選択肢です。 Miraiのようなボットネットはなくなることはありません。デバイスを保護する必要があります。また、自分のデバイスを保護することで、インターネットの他の部分を保護することになります。
