2017年2月24日

Kaspersky Lab、Windows環境下でマルウェア「Mirai」を拡散する新たなマルウェアを解析、約500システムへの攻撃を確認

WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態であり、その開発者のスキルが高いことも懸念点です。コネクテッドテクノロジーに莫大な投資を行っている新興市場への影響が懸念されます。

[本リリースは、2017年2月21日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labのグローバル調査分析チーム（GReAT）^※1 のセキュリティリサーチャーは、Miraiボットネット閉鎖に向けたCERT、ホスティングプロバイダーなどとの取り組みの中で、Miraiマルウェアの拡散を目的としWindows環境下で動作するマルウェアを解析しています。このWindows環境下で動作するマルウェアの開発者は、2016年後半のMiraiによる大規模なDDoS攻撃を実行した攻撃者よりも高度なスキルを備えていると考えられ、Miraiをベースとした攻撃の今後の利用と標的に関して、憂慮すべき可能性を示しています。Kaspersky Labの調査では、2017年だけですでに約500システムへの攻撃を確認しています。なかでもコネクテッドテクノロジーに莫大な投資を行っている新興市場への影響が懸念されます。このマルウェアの作成者は中国語話者であると見られています。

Windows環境下で動作する、Mirai拡散を目的としたマルウェアは、元のMiraiコードベースよりも機能が豊富で堅牢ですが、拡散プログラム自体のコンポーネント、技術、機能の大半は数年前のものです。Miraiマルウェアを拡散させる能力は限定的で、総当たり攻撃でTelnet接続ができた場合に、感染したWindowsプラットフォームから脆弱なLinuxベースのIoTデバイスにMiraiマルウェアを配信します。このような制限はあるものの、このコードは明らかに経験豊富な開発者によって作成されたものです（ただし、Mirai関連の経験は比較的浅いとみられます）。ソフトウェア内の言語の手がかりや、コードが中国語のシステムでコンパイルされ、ホストサーバーが台湾で管理されていた事実、中国企業から窃取されたコードサイニング証明書の悪用などから、開発者が中国語話者である可能性が示されています。

Kaspersky Labの測定データでは、2017年に入り約500のシステムがこのWindowsボットからの攻撃を受けています。攻撃の第2段階に関わるIPアドレスの位置情報から判断すると、特に攻撃を受けやすい国は、コネクテッドテクノロジーに莫大な投資を行っている新興市場であるインド、ベトナム、サウジアラビア、中国、イラン、ブラジル、モロッコ、トルコ、マラウイ、アラブ首長国連邦、パキスタン、チュニジア、ロシア、モルドバ、ベネズエラ、フィリピン、コロンビア、ルーマニア、ペルー、エジプト、バングラデシュなどです。

Kaspersky Labのプリンシパルセキュリティリサーチャー、コート・バウムガートナー（Kurt Baumgartner）は次のように述べています。「WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態であり、その開発者のスキルが高いことも懸念すべき点です。2011年にバンキング型トロイの木馬Zeusのソースコードが公開されたことで、オンラインコミュニティは何年間にも及ぶ問題を抱えることになりました。2016年に公開されたMiraiマルウェアのソースコードも、インターネットに同様の影響を与えるでしょう。洗練されたスキルと技術を持つ経験豊富な攻撃者達は、無償で手に入るMiraiのコードを活用しようとしています。Miraiマルウェアを拡散するWindowsボットネットは、新しいデバイスやネットワークにMiraiを拡散できるようになっています。これは始まりにすぎません」

Kaspersky Labは、CERT、ホスティングプロバイダー、ネットワークオペレーターと連携し、相当数の指令サーバーを閉鎖することによって、インターネットのインフラにとっての危険度を増すこの脅威に対抗しています。指令サーバーを首尾よく迅速に閉鎖することで、急拡大するIoTベースのボットネットがもたらすリスクや混乱を最小限に抑えられます。Kaspersky Labは自社の経験と、世界のCERTやプロバイダーとの関係を活用し、こうした取り組みを促進しています。

カスペルスキー製品では、WindowsおよびMiraiボットを次の検知名で検知・ブロックします。
Trojan.Win32.SelfDel.ehlq、Trojan.Win32.Agentb.btlt、Trojan.Win32.Agentb.budb、Trojan.Win32.Zapchast.ajbs、Trojan.BAT.Starter.hj、Trojan-PSW.Win32.Agent.lsmj、Trojan-Downloader.Win32.Agent.hesn、Trojan-Downloader.Win32.Agent.silgjn、Backdoor.Win32.Agent.dpeu、HEUR:Trojan-Downloader.Linux.Gafgyt.b、DangerousPattern.Multi.Generic (Urgent Detection System)

Windowsベースの拡散プログラムの詳細は、Securelistブログ「New(ish) Mirai Spreader Poses New Risks」（英語）をご覧ください。

※1 Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky Labの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。