メインコンテンツにスキップする

Kaspersky Lab、Windows環境下でマルウェア「Mirai」を拡散する新たなマルウェアを解析、約500システムへの攻撃を確認

2017年2月24日

WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態であり、その開発者のスキルが高いことも懸念点です。コネクテッドテクノロジーに莫大な投資を行っている新興市場への影響が懸念されます。

[本リリースは、2017年2月21日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labのグローバル調査分析チーム(GReAT)※1 のセキュリティリサーチャーは、Miraiボットネット閉鎖に向けたCERT、ホスティングプロバイダーなどとの取り組みの中で、Miraiマルウェアの拡散を目的としWindows環境下で動作するマルウェアを解析しています。このWindows環境下で動作するマルウェアの開発者は、2016年後半のMiraiによる大規模なDDoS攻撃を実行した攻撃者よりも高度なスキルを備えていると考えられ、Miraiをベースとした攻撃の今後の利用と標的に関して、憂慮すべき可能性を示しています。Kaspersky Labの調査では、2017年だけですでに約500システムへの攻撃を確認しています。なかでもコネクテッドテクノロジーに莫大な投資を行っている新興市場への影響が懸念されます。このマルウェアの作成者は中国語話者であると見られています。

Windows環境下で動作する、Mirai拡散を目的としたマルウェアは、元のMiraiコードベースよりも機能が豊富で堅牢ですが、拡散プログラム自体のコンポーネント、技術、機能の大半は数年前のものです。Miraiマルウェアを拡散させる能力は限定的で、総当たり攻撃でTelnet接続ができた場合に、感染したWindowsプラットフォームから脆弱なLinuxベースのIoTデバイスにMiraiマルウェアを配信します。このような制限はあるものの、このコードは明らかに経験豊富な開発者によって作成されたものです(ただし、Mirai関連の経験は比較的浅いとみられます)。ソフトウェア内の言語の手がかりや、コードが中国語のシステムでコンパイルされ、ホストサーバーが台湾で管理されていた事実、中国企業から窃取されたコードサイニング証明書の悪用などから、開発者が中国語話者である可能性が示されています。

Kaspersky Labの測定データでは、2017年に入り約500のシステムがこのWindowsボットからの攻撃を受けています。攻撃の第2段階に関わるIPアドレスの位置情報から判断すると、特に攻撃を受けやすい国は、コネクテッドテクノロジーに莫大な投資を行っている新興市場であるインド、ベトナム、サウジアラビア、中国、イラン、ブラジル、モロッコ、トルコ、マラウイ、アラブ首長国連邦、パキスタン、チュニジア、ロシア、モルドバ、ベネズエラ、フィリピン、コロンビア、ルーマニア、ペルー、エジプト、バングラデシュなどです。

Kaspersky Labのプリンシパルセキュリティリサーチャー、コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態であり、その開発者のスキルが高いことも懸念すべき点です。2011年にバンキング型トロイの木馬Zeusのソースコードが公開されたことで、オンラインコミュニティは何年間にも及ぶ問題を抱えることになりました。2016年に公開されたMiraiマルウェアのソースコードも、インターネットに同様の影響を与えるでしょう。洗練されたスキルと技術を持つ経験豊富な攻撃者達は、無償で手に入るMiraiのコードを活用しようとしています。Miraiマルウェアを拡散するWindowsボットネットは、新しいデバイスやネットワークにMiraiを拡散できるようになっています。これは始まりにすぎません」

Kaspersky Labは、CERT、ホスティングプロバイダー、ネットワークオペレーターと連携し、相当数の指令サーバーを閉鎖することによって、インターネットのインフラにとっての危険度を増すこの脅威に対抗しています。指令サーバーを首尾よく迅速に閉鎖することで、急拡大するIoTベースのボットネットがもたらすリスクや混乱を最小限に抑えられます。Kaspersky Labは自社の経験と、世界のCERTやプロバイダーとの関係を活用し、こうした取り組みを促進しています。


カスペルスキー製品では、WindowsおよびMiraiボットを次の検知名で検知・ブロックします。
Trojan.Win32.SelfDel.ehlq、Trojan.Win32.Agentb.btlt、Trojan.Win32.Agentb.budb、Trojan.Win32.Zapchast.ajbs、Trojan.BAT.Starter.hj、Trojan-PSW.Win32.Agent.lsmj、Trojan-Downloader.Win32.Agent.hesn、Trojan-Downloader.Win32.Agent.silgjn、Backdoor.Win32.Agent.dpeu、HEUR:Trojan-Downloader.Linux.Gafgyt.b、DangerousPattern.Multi.Generic (Urgent Detection System)


Windowsベースの拡散プログラムの詳細は、Securelistブログ「New(ish) Mirai Spreader Poses New Risks」(英語)をご覧ください。


※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky Labの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。


Kaspersky Lab、Windows環境下でマルウェア「Mirai」を拡散する新たなマルウェアを解析、約500システムへの攻撃を確認

WindowsプラットフォームからLinuxプラットフォームへと感染するMiraiの出現は極めて憂慮すべき事態であり、その開発者のスキルが高いことも懸念点です。コネクテッドテクノロジーに莫大な投資を行っている新興市場への影響が懸念されます。
Kaspersky logo

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバル企業です。サイバーセキュリティの普及と、デジタルライフにおけるプライバシーの保護を目的として活動しています。カスペルスキーは、「サイバーイミュニティ」というアプローチで業界の革新を推進し、サイバー脅威から一般ユーザー、企業、重要インフラ、政府を保護しています。これまでに保護したデバイスは、10億台を超えています。

カスペルスキーが実現するのは、「Cybersecurity True to Business」です。明確な成果の達成、収益の保護、業務負荷の軽減、ダウンタイムの防止に重点を置いています。カスペルスキーの高度な脅威インテリジェンスとセキュリティに関する専門知識は、あらゆる規模の組織に向けた革新的なソリューションやサービスという形で、絶えず具現化され続けています。小規模企業から大規模企業に至るまで、あらゆる規模をカバーする保護を、実績あるAI駆動型の保護技術と、シンプルな管理機能、エキスパートによるサポートの組み合わせで実現しています。

カスペルスキーは、独立系機関によるテストで高い評価を得ており、世界各地の数百万人の個人ユーザーや約20万の組織から信頼されています。脅威の早期検知、機動的な対応、高い信頼性と自由度が確保された運用を支援し、お客様にとって最も大切なものを守ります。詳細は、www.kaspersky.comをご覧ください。

関連記事 ウイルスニュース