Hajime ワーム、IoT の支配をめぐって Mirai に挑む

Hajime ワーム、IoT の支配をめぐって Mirai に挑む

モノのインターネット(IoT)に対応するデバイスの支配をめぐって、マルウェアどうしの争いが巻き起こっています。並みいる有力なマルウェアのなかでも特に目立っている 2 つが、Mirai ボットネットの生き残りと、「Hajime」の名で知られる類似の新しいファミリーです。 Hajime は、昨年 10 月に 研究者の手で発見され ました。Mirai( Linux.Gafgyt )と同じように、Telnet ポートが空いていてパスワードもデフォルトのままというセキュリティの低いデバイスを通じて拡散します。それどころか、3 組あるユーザー名とパスワードの組み合わせのうち 1 つは、Mirai がプログラムに従って使うのとまったく同じです。 しかし、共通しているのはここまででした。 Mirai では、コマンド & コントロール(C&C)サーバーのアドレスがハードコードされていますが、Hajime はピアツーピアのネットワーク上に構築されています。1 つの C&C サーバーのアドレスがあるわけではなく、コントローラがコマンドモジュールをピアネットワークに送出すると、メッセージは順次すべてのピアに伝達されていきます。解体が難しくなるため、一般的にはこのほうが設計として堅牢だと言われています。 Hajime は、Mirai と比べるとステルス性も機能も向上しています。ひとたびデバイスに侵入すると、複数の手順を経て、実行中のプロセスを秘匿し、ファイルシステムで自身のファイルを隠します。Hajime の作成者は、ネットワーク上に感染したマシンがあれば、いつでもそこでシェルスクリプトを開くことができます。しかも、コードはモジュール式なので、実行中でも新しい機能を追加できます。コードから伺い知れるように、このワームの設計には相当の開発時間が費やされたようです。 過去数カ月の間に、Hajime は急速に拡散しています。シマンテックは感染を全世界で追跡していますが、特に集中しているのがブラジルとイランです。ピアツーピアネットワークの規模を推測するのは困難ですが、控え目に見積もっても数万の単位にはなるでしょう。 図 1. Hajime への感染が確認された上位 10 カ国 Hajime ワームの動機 Hajime に、機能の欠落があることは明らかです。今のところ、分散サービス拒否(DDoS)の機能はなく、拡散モジュール以外の攻撃コードもありません。かわりに、コントローラからメッセージを取得し、およそ 10 分ごとにターミナル上に表示します。現在は、以下のようなメッセージです。 Just a white hat, securing some systems. (システム保護をめざす、善意のハッカーより) Important messages will be signed like this! (大切なメッセージには、このような署名があります) Hajime Author. (Hajime の著作者) Contact CLOSED (連絡先: 非公開) Stay sharp! (警戒をお忘れなく!) このメッセージは暗号的に署名されており、ワームはハードコードされたキーで署名されたメッセージしか受け付けません。したがって、このメッセージがワームの真の作成者から送られたものであることは、ほぼ確実でしょう。しかし、独自のバックドアをシステムにインストールしていることを考えると、これが本当に善意の行為であり、システムの保護を試みているだけという点についてはやはり疑問が残ります。また、Hajime がモジュール設計であることを踏まえると、作成者の意図が変われば、感染したデバイスから大規模なボットネットを作り上げることも可能です。 作成者の名誉のために書いておくと、Hajime がインストールされると、23、7547、5555、5358 の各ポートへのアクセスが遮断されるので、デバイスのセキュリティは実際に向上します。いずれも、IoT デバイスの多くで悪用できることが知られているサービスをホストしているポートです。Mirai も、これらのポートを狙うことが確認されています。 図 2. Hajime への感染が確認された地域別の件数 善意のワーム 脆弱な IoT デバイスを保護しようとする自警団員 のように見えるケースは、今回が初めてではありません。2014 年と 2015 年には、 Linux.Wifatch マルウェアが登場しました。これを作成したのは「The White Team(善意のチーム)」で、今回の Hajime とほぼ同じように、IoT デバイスの保護を謳っています。 Brickerbots も、重要なシステムファイルを削除して、または類似の方法でシステムを破壊して、IoT […]