昨年 11 月、シマンテックは Linux.Darlloz と呼ばれる IoT(モノのインターネット)ワームを確認しました。このワームは、Intel x86 アーキテクチャを搭載したコンピュータを標的としています。さらには、ARM、MIPS、PowerPC アーキテクチャを搭載したデバイスも対象としています。これらのアーキテクチャは通常、ルーターやセットトップボックスにも使われています。最初に Linux.Darlloz を発見して以来、シマンテックは 1 月中旬にこのワームの新しい亜種を発見しました。シマンテックの分析では、このワームの作成者はコードの更新と新機能の追加を繰り返し、特に金銭的利益を得ることを目的としているようです。
シマンテックで 2 月にインターネットの IP アドレス空間全体をスキャンしたところ、Linux.Darlloz に感染したデバイスが 31,000 台以上も見つかりました。
コインマイニング
さらに、このワームの現在の目的が暗号通貨のマイニング(採掘)であることが判明しました。Intel アーキテクチャを搭載したコンピュータがこの新しい亜種に感染すると、cpuminer というオープンソースのコインマイニングソフトウェアがインストールされます。その後、ワームは、感染したコンピュータ上で Mincoin や Dogecoin のマイニングを始めます。2014 年 2 月末までに、攻撃者は 42,438 Dogecoin(このブログの執筆時点のレートで約 46 米ドル)と 282 Mincoin(同じく約 150 米ドル)を採掘しました。これらの金額は平均的なサイバー犯罪活動に比べると少ないため、攻撃者は収益を増大させるために脅威を進化させ続けると予想できます。
このワームの新しいコインマイニング機能の影響を受けているのは、Intel x86 アーキテクチャを搭載したコンピュータのみであり、IoT デバイスへの影響はまだ確認されていません。一般的に、IoT デバイスでコインマイニングを行うには、より多くのコストと高性能な CPU が必要になります。
Mincoin と Dogecoin が狙われる理由
このワームは、より価値の高い有名な暗号通貨 Bitcoin ではなく、Mincoin と Dogecoin のマイニングを目的としているようです。この理由は、Mincoin と Dogecoin が scrypt アルゴリズムを使用しているためです。Bitcoin で利益を上げるにはカスタム ASIC チップが必要ですが、一方 scrypt アルゴリズムであれば、家庭用 PC でもまだ十分にマイニングが可能です。
新たな標的
初期バージョンの Darlloz は、ルーターやセットトップボックス用のユーザー名とパスワードの組み合わせが 9 つ保持していました。現在、最新バージョンにはこれらのログイン情報の組み合わせが 13 個あり、施設の遠隔監視によく使われる IP カメラにも対応しています。
IoT デバイスが狙われる理由
IoT(モノのインターネット)は、あらゆるタイプのデバイスが接続される仕組みです。PC を攻撃から保護しているユーザーは多いものの、IoT デバイスも保護する必要があることはあまり知られていません。通常のコンピュータとは違い、多くの IoT デバイスはデフォルトのユーザー名とパスワードが設定された状態で出荷され、多くのユーザーはこれらを変更していません。そのため、デフォルトのユーザー名とパスワードを使用している IoT デバイスは、攻撃の恰好の標的となるわけです。また、これらのデバイスの多くには、修正パッチが適用されていない脆弱性が含まれており、ユーザーはそのことに気付いていません。
今回の脅威はコンピュータ、ルーター、セットトップボックス、IP カメラを対象としていますが、将来的にはホームオートメーションデバイスやウェアラブルテクノロジなどの他の IoT デバイスも狙うように更新される可能性があります。
他の攻撃者の遮断
以前のブログで説明したように、このワームは、Linux.Darlloz が既に侵入したデバイスを他の攻撃者やワーム(Linux.Aidra など)に狙われるのを阻止します。マルウェア作成者は、昨年 11 月にこのワームをリリースしたときから、この機能を実装していました。
1 月始めには、多数のルーターであるバックドアに関する報告が公開されました。このバックドアを利用すると、攻撃者はリモートからルーターにアクセスして、ユーザーのネットワークに侵入することが可能になります。Darlloz の作成者にとってこれは脅威となるため、感染したデバイス上で新しいファイアウォールルールを作成することで、バックドアポートへのアクセスを遮断する機能を実装し、他の攻撃者が同じバックドアから侵入できないようにしたのです。
確認されている感染状況
デバイスに感染すると、Darlloz は拡散のためにポート 58455 で HTTP Web サーバーを開始します。サーバーはワームファイルをホストし、誰でも HTTP GET 要求を使ってこのポートからファイルをダウンロードできるようにします。シマンテックでは、このポートを開いて静的パスで Darlloz ファイルをホストする IP アドレスを調べました。Darlloz ワームがダウンロード可能であることを前提として、ホストサーバーの OS フィンガープリントの収集を試みたところ、以下の統計情報から感染状況の概要が分かりました。
- Darlloz の感染が判明した IP アドレス: 31,716
- Darlloz による感染の影響を受けた地域: 139
- 感染した IP アドレスから判明した OS フィンガープリント: 449
- Linux 上で稼働する Intel ベースのコンピュータまたはサーバーに対する Darlloz 感染: 43 %
- ルーター、セットトップボックス、IP カメラ、プリンタなどの各種 IoT デバイスに影響を与えたと思われる Darlloz 感染: 38 %
図 1. Darlloz 感染が報告された上位 5 つの地域
すべての Darlloz 感染のうち半数が、中国、米国、韓国、台湾、インドの 5 つの地域で発生しています。これらの地域で感染報告が多い理由として最も考えられるのは、インターネットユーザー数の多さと IoT デバイスの普及率の高さです。
IoT デバイスの感染
IoT デバイスのユーザーは、マルウェアに感染していても気付かない可能性があります。その結果、このワームの侵入を受けたコンピュータと IoT デバイスは 4 カ月間で 31,000 台にも及び、被害は今も広がり続けています。マルウェア作成者は、テクノロジの状況変化に応じて、今後もこのワームに新機能を加えることが予想されます。シマンテックでは、引き続きこの脅威を監視していきます。
対策
- コンピュータや IoT デバイスにインストールされているすべてのソフトウェアにセキュリティパッチを適用する
- すべてのデバイス上のファームウェアを更新する
- すべてのデバイス上でデフォルトのパスワードを変更する
- ポート 23 または 80 での外部からの接続が不要であれば、この接続を遮断する
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。