is702
ニュース

Windows機器も拡散に利用、「Mirai」の変化に注意を

2017/02/15

トレンドマイクロは2月14日、公式ブログで「ポートスキャン機能を増強した『Mirai』、Windowsも踏み台に追加」と題する記事を公開しました。昨年大きな問題となったマルウェア「Mirai」(ミライ)ですが、IoT機器だけでなく、Windows機器も拡散に利用するよう変化していることが判明しました。

「Mirai」は、Linuxを搭載したIoT機器に感染し、構築したボットネットで「分散型サービス拒否(DDoS)」攻撃を行うマルウェアです。そのため、これまではLinuxを搭載したルータ、デジタルビデオレコーダ(DVR)、プリンタ、監視カメラが攻撃対象でしたが、トレンドマイクロが入手したWindows版マルウェア「BKDR_MIRAI.A」は、Windows機器もMiraiの拡散に利用していました。

「BKDR_MIRAI.A」は、“Miraiの拡散”を主目的としており、攻撃対象がLinux機器だった場合は、Mirai自体に感染させ、新しいボットとして利用しますが、攻撃対象がWindows機器だった場合は、BKDR_MIRAI.A自身のコピーを作成し、Linux機器の探索を継続します。この際、Linux用とWindows用の2種類のマルウェアを作成することで、Miraiのさらなる拡散を図るとのことです。

攻撃するポートについても、「BKDR_MIRAI.A」は、より多くのポートを追加しており、「7547(TCP/UDP)」「5555(TCP/UDP)」「23(Telnet)」「22(SSH)」といった従来の探索先ポートに加え、「22(SSH)」「23(Telnet)」「135(DCE / RPC)」「445(Active Directory)」「1433(MSSQL)」「3306(MySQL)」「3389(RDP)」などのポートもスキャン対象としています。これらのポートは、さまざまな理由から、通常オープンに設定されていることが多く、スキャン対象になっていると推測されます。また、Windows PCで使用されていることも多いため、機器の識別にも利用されていることが考えられます。

悪意のあるユーザが、Windowsデータサーバなどの管理者権限を得た場合、サーバ全体の環境設定オプションの変更、サーバのシャットダウン、ログイン情報とプロパティの変更、実行中のプロセス終了などが可能になると思われます。さらには、同じネットワーク内のIoT機器への侵入も懸念されます。今後も、Miraiおよびその亜種に対しては、強い注意を払う必要があるでしょう。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ