ブログ
“CYFIRMAセキュリティアップデート-1-“ IoTボットネット「Hakai」の高度な進化と感染の拡大に警戒
2018-09-07

AUTHOR

Antuitリサーチチーム

 

今週、複数メーカーの“ルータ”を狙った攻撃で使われたことがニュースにもなっている「Hakai」というボットネットですが、我々の調査では、様々なIoT機器への攻撃にも使わる可能性があり、今後警戒が必要です。

「Hakai」ボットネットと呼ばれるIoTマルウェアの最新の亜種が発見されています。ハッカーたちはこのIoTマルウェアの亜種に対して、徐々に高度な属性を組み込み、洗練化させてきました。今後ますます、多くのシステムを危険にさらす可能性が高いのです。

今年初めに発見された「Hakai」の変種は、数年前にオンラインで流出したIoTマルウェアの変種である「Qbot」をベースにしていました。「Hakai」のこの最初のバージョンは、複雑なプログラムではなく、大規模な攻撃キャンペーンも実行されませんでしたが、ハッカーたちはマルウェアコードをすばやく変更し、ボットネットが発見されてから1ヶ月以内に被害が観測されています。

IoTマルウェア「Hakai」の進化
以下に、「Hakai」の進化を追ってみます。

HNAPプロトコルをサポートするD-Linkルータは、IoTボットネットHakaiのターゲットとなっていました。このマルウェアは、2つのD-Linkルータの脆弱性を利用しています。マルウェアがDIR-645ファームウェアのセキュリティ上の欠陥を悪用し、ワイヤレスLANおよびWANネットワーク上のハッカーがワイヤレスルータに対するコマンド注入および、バッファオーバーフロー攻撃を実行することが可能となります。

さらに同8月までに、中南米で広く拡散されていることが判明しました。 同年8月20日、研究者らは、ブラジルを中心にラテンアメリカのD-Link DSL-2750Bルータのセキュリティ上の欠陥を悪用しようとするHaikaiボットネットの亜種を発見しました。

そして、最近になり、さらに2つの新しい亜種が発見されています。 それぞれ「Kenjiro」と「Izuku」と呼ばれています。これらにはいくつかのコードのバリエーションがあります。

Antuitの見解

マルウェアの作成者は、攻撃の成功率を高めるためにマルウェアコードに変更を加え、常に努力しています。Hakaiボットネットの作成者たちは、より多くのデバイスを侵害する為に、マルウェアスクリプトに高度な改良を加えています。このボットネットマルウェアにかかると、デフォルトまたは弱いパスワードでさえハッカーがIoTデバイスを侵害して、コントロールするのに十分です。

さらに、IoTデバイスの全所有者の15%以上が、購入したデバイスのデフォルトパスワードを変更していないと昨年発表された研究報告書に記載されていた点に注目しました。これにより、マニュアルに記載されているパスワードと同じパスワードを持つ数百万のIoTデバイスが脆弱だという事になります。ボットネットを作成するマルウェア開発者は、ブルートフォース攻撃を展開し、既定のパスワードのリストを利用してこれらのデバイスを侵害し、それらをIoTデバイスのボットネットの一部として組み込みます。

推奨対策
以下、我々の推奨する対策です。