新たな世界的ボットネット攻撃の出現――知っておくべきこと
セキュリティ企業グレイノイズ(GreyNoise)のリードソフトウェアエンジニア、ジェフ・ゴールデンが主導し、同社の研究チームが支援する形で、新たな世界的ボットネットの存在が確認された。
この調査は、インテリジェンスマップ上の小さな領域で不審な活動が集中的に観測されたことから始まった。いずれも共通の特徴を持ち、Telnetブルートフォース攻撃、IoT端末へのデフォルトパスワード使用、さらにはハードコードされたTelnetアクセスの試行といった挙動が記録されていた。
AIを用いたグレイノイズの分析により、関与していたのはいずれもVoIP(Voice over IP)対応の端末であることが確認された。報告書は次のように述べている。
「グレイノイズタグ、行動パターンの類似性、Telnetトラフィックの分析を通じて、同様の挙動を示すIPアドレスを世界中で約500件特定しました」。
研究チームは、VoIP機器の多くが旧式のLinuxベースのファームウェアを使用しており、Telnetがデフォルトで開放されているため、脆弱性ベースの攻撃に対して極めて脆弱であると指摘している。これらの機器はインターネットに直結している場合も多く、監視が行き届かず、更新パッチの適用もまれである。
「今回のケースでは特定のCVEの悪用は確認されなかったが、こうした活動は『脆弱性は公表後も長く攻撃対象であり続ける』という事実を裏づけるものです」と研究者らは説明している。
グレイノイズは、このようなVoIPシステムが、セキュリティ監視の対象として見落とされやすいと警鐘を鳴らしている。個人ユーザーに限らず、インフラ事業者やISPなどの組織でも「知らぬ間にボットネットのインフラ提供者になっている」恐れがあるという。今回のボットネットはMirai(ミライ)系の可能性が高く、極めて日和見的な性質を持つ。防御側は特にVoIP対応機器について、Telnetの露出を監査し、エッジデバイスやSOHO機器における初期認証情報の変更・無効化を徹底すべきであると指摘している。
FBIの推奨事項とBadBox 2.0への対策――今すぐ端末を切断せよ
FBIは、Android機器を利用しているユーザーに対し、以下のような兆候が見られた場合、所有する中国製スマートデバイスがBadBox 2.0に感染している可能性があるとして注意を促している。
1. Google Playプロテクトの無効化を要求される
2.「完全にアンロック済み」や「無料でコンテンツ視聴可能」と宣伝されているストリーミング端末
3. 聞き慣れないブランドから販売されたデバイス
4. 初期設定時に不明な非公式アプリマーケットからのソフトウェアインストールを求められる
5. 説明のつかない、または疑わしいインターネット通信の発生
FBIは、こうした兆候が見られる場合には「疑わしい端末をネットワークから切断することを検討すべきである」と強く推奨している。
