Miraiの経済性、伝播、緩和について

投稿者:ASERT Team
投稿アーカイブ:Botnets、DDoS Tools and Services

2016年11月下旬、新しいMiraiの亜種が出現しました。この亜種では、すでに流出しているMiraiのソースコードにおいて元来提供されていたTelnetベースの総当たりメカニズムとは異なる、伝播メカニズムが利用されています。この新しい亜種は、ISPが顧客のブロードバンドルーターを遠隔管理する目的で使用する、TR-064/TR-069プロトコルにおける実装上の脆弱性を悪用しています[1]。このMiraiの亜種は数多くの記事に取り上げられていますが、多くの場合、重要なニュアンスが見過ごされているか過剰に扱われています。攻撃者は、伝播メカニズムを分散させているだけでなく、DDoSボットネットを収益源として利用し続けています。このようにブロードバンドに接続するデバイスに特化して進化を続ける脅威に対し、自社ネットワークのセキュリティとパフォーマンスについての責任を担うプロバイダーは、Miraiが顧客機器(ブロードバンドルーターなど)を追い越し、さらにその過程でネットワーク障害を引き起こすことを回避するための特別な緩和策について、助言を必要としています。

背景

経済モデル

複数のメディアが、Miraiの亜種であるTR-064/TR-069に基づくボットネットがDDoS-as-a-Serviceを提供する目的で利用されていると報じています。そうしたいわゆるブーター/ストレッサーやDDoS-for-hireサービスでは、料金を支払う気があれば、誰でも自分が選んだ標的に対しDDoS攻撃を仕掛けることができるようになります。もちろん、Miraiベースか否かを問わず、ボットネットが金儲けのために利用されているという事実には誰も驚かないでしょう。実際に、金儲けがこのボットネットの全目的となっているのです。その経済モデルは、仮想移動体通信事業者(MVNO)の経済モデルをほぼ模倣しています。Wikipediaでは以下のように説明されています[2]。

仮想移動体通信事業者(Mobile Virtual Network Operator:MVNO)または移動体通信ライセンス事業者(Mobile Other Licensed Operator: MOLO)とは、自社の無線通信回線設備を保有せずに、移動体通信サービスを行う事業者のことである。MVNOは移動体通信事業者(MNO)との契約により卸売価格でネットワークサービスのバルクアクセスを取得し、独自の小売価格を設定する。MVNOは、自社独自のカスタマーサービスや課金支援システム、マーケティング、営業担当者によってサービスを提供するか、仮想移動体サービス提供者(Mobile Virtual Network Enabler:MVNE)のサービスを採用することも可能である。

このような類似性を用いると、Miraiボットネットを構築・維持している攻撃者は、自社のボットネットインフラを保有し、その他の攻撃者に対してマネージドアクセスと共にインフラを提供しているMNOにたとえられます。Tier 2の攻撃者は続いて、DDoS-for-hireサービスを自社の設定した価格で必要に応じてエンドユーザーに提供します。彼らはMiraiに言及している場合もあれば、単に自社のボットネットとおぼしきものを販売しているにすぎない場合もあります。Miraiのソースコード [3]には、MySQLアカウントデータベース、API、およびCLIレベルのボットネットへのアクセスによって、このようなモデルに対するサポートが組み込まれています。

伝播メカニズム

この最新型のMirai亜種が利用している伝播メカニズムは、最初に流出したMiraiソースコードで用いられている伝播メカニズムとは異なるものです。最初に流出したMiraiのコードは、Telnetベースの総当たりメカニズムを実行して設計と構築が不十分なIoTデバイスに侵入します。事前に定義されたユーザー名とパスワードのリストは、Webカメラやデジタルビデオレコーダーに対する大規模な侵入を招きました。対照的に、Miraiの新しい亜種は、ISPが顧客サイトの機器(主にホームルーター)の遠隔管理に使用するTR-064/TR-069プロトコルの実装上の脆弱性を悪用しています[1]。プロトコル(CPE WAN管理プロトコル:CWMP)の実装上の脆弱性は、任意のコードをSOAPメッセージ内に配信される構成パラメーターとしてHTTP経由で7547ポートに通過させることにより、感染したルーターにおける任意コードの実行を可能にします。このような手法の詳細な説明は、ISCより提供されています[4]。任意コードが実行されると、Miraiのペイロードがダウンロードされてからルーター上にインストールされ、ルーターはMiraiボットネットに組み込まれます。IoTデバイスがいったんボットネットに組み込まれると、コマンドを発してDDoS攻撃を開始できるようになり、侵入するデバイスのスキャニングが始まります。

最近のシステム障害の背景説明

Miraiは、Brian Krebsのブログ(KrebsOnSecurity)やフランスのホスティング・プロバイダーであるOVH、マネージドDNSのプロバイダーであるDyn、リベリアのモバイル事業者などが標的となって注目されたDDoS攻撃の背後にあるボットネットとしてよく知られているため、欧州の大手ブロードバンド・プロバイダー2社とドイツの連邦情報技術安全局(BSI)における最近の障害もMiraiをベースとしたDDoS攻撃によるものであると、多くの人が誤って仮定しました[5]。明確にいえば、こうした最近の障害はDDoS攻撃の結果によるものではありません。これらの障害は、攻撃的な水平スキャンと、前述の伝播メカニズムを使用して、ホームルーターに侵入しようとした結果生じたものです。

緩和策

MiraiをベースとするDDoS攻撃を緩和するために、Arbor Networksのお客様はArbor Technical Assistance Center(ATAC)またはローカルのコンサルティングエンジニアから入手可能な「Mirai IoT Botnet Description and DDoS Attack Mitigation」というタイトルのASERT Threat Advisory(脅威報告)をご参照ください。お客様以外の方は、同じタイトルのASERTブログをご参照ください[6]。ブロードバンド接続を提供するISPは、積極的に顧客のアクセスネットワークをスキャンして、侵入されたノードや脆弱性のあるノードを特定し、問題のある顧客に対して機器の脆弱性を通知する対策を講じるべきです。ISP自身が脆弱性のあるCPEデバイスを提供してしまった場合、攻撃者側における大量のスキャニング行為によりデバイスは再起動直後に再度侵入されるため、緊急措置としてそのようなデバイスを直ちに交換すべきです。DSLブロードバンド・ネットワークを運営しているISPは、ISP自身の専用のネットワーク管理システムだけが自社のCPEデバイスにおける遠隔ネットワーク管理設備にアクセスできる状態を確保するために、ベスト・カレント・プラクティス(BCP)を実施すべきです。ケーブルモデム・ネットワーク事業者は、自社のネットワーク上のCPEデバイスを遠隔管理するために使用しているDOCSISネットワーク管理システムを用いて、同様にベスト・カレント・プラクティス(BCP)を実施すべきです。さらに、ブロードバンド接続を提供するISPは、自社のネットワークデバイスに内蔵されているネットワークインフラの自己防御メカニズムを利用し、ARPや、脆弱性のあるその他のCPEデバイスをボットネットに組み込む目的で侵入されたデバイスのスキャンによって生成され得るその他の関連するコントロールプレーン・トラフィックを制限すべきです。この方法により、侵入されたCPEデバイスが行う大量のスキャニング行為による広範囲の利用者に対する妨害を、そのようなスキャニングの二次的な影響を制限することで確実に不可能にします。

結論

Miraiは、攻撃者が金銭と引き換えに自分が選ぶ標的に対してDDoSを開始するのを可能する、現行のDDoS-for-hireサービスをサポートするプラットフォームです。現在利用されている安全性の低いIoTデバイスの量が膨大であり、さらに日々増え続けていることを考慮すると、Miraiをベースとしたボットネットは当面の間、侮ることのできない力を示すことでしょう。Miraiは単に、デバイスを組み込もうとすることによって障害を引き起こします。当社はブロードバンド事業者に対し、自社の顧客サイトの機器にMiraiが追い付き、その過程で発生する障害を防止する対策を実施するよう、緩和策の助言を提供しました。ASERTは2016年10月25日に、MiraiベースのDDoS攻撃を緩和するために、Arbor Networksのお客様向けにMiraiに関する脅威報告を発表しました。脅威報告には包括的で詳細にわたる緩和策の助言が含まれており、新しい情報に基づき随時更新されます。