モノのインターネット(IoT)に対応するデバイスの支配をめぐって、マルウェアどうしの争いが巻き起こっています。並みいる有力なマルウェアのなかでも特に目立っている 2 つが、Mirai ボットネットの生き残りと、「Hajime」の名で知られる類似の新しいファミリーです。
Hajime は、昨年 10 月に研究者の手で発見されました。Mirai(Linux.Gafgyt)と同じように、Telnet ポートが空いていてパスワードもデフォルトのままというセキュリティの低いデバイスを通じて拡散します。それどころか、3 組あるユーザー名とパスワードの組み合わせのうち 1 つは、Mirai がプログラムに従って使うのとまったく同じです。
しかし、共通しているのはここまででした。
Mirai では、コマンド & コントロール(C&C)サーバーのアドレスがハードコードされていますが、Hajime はピアツーピアのネットワーク上に構築されています。1 つの C&C サーバーのアドレスがあるわけではなく、コントローラがコマンドモジュールをピアネットワークに送出すると、メッセージは順次すべてのピアに伝達されていきます。解体が難しくなるため、一般的にはこのほうが設計として堅牢だと言われています。
Hajime は、Mirai と比べるとステルス性も機能も向上しています。ひとたびデバイスに侵入すると、複数の手順を経て、実行中のプロセスを秘匿し、ファイルシステムで自身のファイルを隠します。Hajime の作成者は、ネットワーク上に感染したマシンがあれば、いつでもそこでシェルスクリプトを開くことができます。しかも、コードはモジュール式なので、実行中でも新しい機能を追加できます。コードから伺い知れるように、このワームの設計には相当の開発時間が費やされたようです。
過去数カ月の間に、Hajime は急速に拡散しています。シマンテックは感染を全世界で追跡していますが、特に集中しているのがブラジルとイランです。ピアツーピアネットワークの規模を推測するのは困難ですが、控え目に見積もっても数万の単位にはなるでしょう。
図 1. Hajime への感染が確認された上位 10 カ国
Hajime ワームの動機
Hajime に、機能の欠落があることは明らかです。今のところ、分散サービス拒否(DDoS)の機能はなく、拡散モジュール以外の攻撃コードもありません。かわりに、コントローラからメッセージを取得し、およそ 10 分ごとにターミナル上に表示します。現在は、以下のようなメッセージです。
Just a white hat, securing some systems.(システム保護をめざす、善意のハッカーより)
Important messages will be signed like this!(大切なメッセージには、このような署名があります)
Hajime Author.(Hajime の著作者)
Contact CLOSED(連絡先: 非公開)
Stay sharp!(警戒をお忘れなく!)
このメッセージは暗号的に署名されており、ワームはハードコードされたキーで署名されたメッセージしか受け付けません。したがって、このメッセージがワームの真の作成者から送られたものであることは、ほぼ確実でしょう。しかし、独自のバックドアをシステムにインストールしていることを考えると、これが本当に善意の行為であり、システムの保護を試みているだけという点についてはやはり疑問が残ります。また、Hajime がモジュール設計であることを踏まえると、作成者の意図が変われば、感染したデバイスから大規模なボットネットを作り上げることも可能です。
作成者の名誉のために書いておくと、Hajime がインストールされると、23、7547、5555、5358 の各ポートへのアクセスが遮断されるので、デバイスのセキュリティは実際に向上します。いずれも、IoT デバイスの多くで悪用できることが知られているサービスをホストしているポートです。Mirai も、これらのポートを狙うことが確認されています。
図 2. Hajime への感染が確認された地域別の件数
善意のワーム
脆弱な IoT デバイスを保護しようとする自警団員のように見えるケースは、今回が初めてではありません。2014 年と 2015 年には、Linux.Wifatch マルウェアが登場しました。これを作成したのは「The White Team(善意のチーム)」で、今回の Hajime とほぼ同じように、IoT デバイスの保護を謳っています。Brickerbots も、重要なシステムファイルを削除して、または類似の方法でシステムを破壊して、IoT デバイスをオフライン化しようとします。
こうした善意のワームの問題点は、たいていが短命で終わってしまうということです。原因は、一時的にしか効果がないことにあります。Hajime のようなワームの影響を受ける一般的な IoT システムでは、セキュリティ向上のために変更が加えられるのは RAM 上だけであり、永続的ではないからです。
再起動すると、デバイスは元の状態に戻るので、デフォルトのパスワードのまま、Telnet ポートも開いたままという無防備な状態になってしまいます。永続的に変更するためには、ファームウェアの更新が必要ですが、大規模な範囲でファームウェアを更新することは、容易ではありません。デバイスごとに操作が異なり、場合によってはハードウェアを開けないと手を加えられないからです。したがって、組み込みデバイスは、まるでデジャビュ(既視感)のように同じ状態を繰り返すことになります。あるとき、デバイスが Mirai ボットネットに組み入れられたかと思うと、次に再起動したときには Hajime ボットネットの一部になっているかもしれません。さらにその次には、他の IoT マルウェア/ワームが、ハードコードされたパスワードを狙ってデバイスをスキャンしようと待ち構えているかもしれないのです。ファームウェアのアップデートによってデバイスのセキュリティが向上するまで、こうした悪循環は再起動のたびに続くことになります。
結果的にセキュリティ研究者を後押し
Hajime ワームには、際立った特徴がもうひとつあります。拡散されるメッセージの中で、作成者は「Hajime Author(Hajime の著作者)」と名乗っていますが、Hajime という名前はバイナリのどこにも出現しないということです。実は、「Hajime」という名前は作成者に由来するわけではなく、このワームを発見した研究者が付けたものでした。Mirai ボットネットとの類似性に気付いた研究者が、日本語として共通のテーマを持つ名前を付けようとしたのです(Mirai は日本語の「未来」、Hajime は日本語の「はじめ」です)。つまり、作成者は研究者のレポートを知っていて、その命名を気に入っているらしいということになります。
研究者のレポートでは、Hajime のバグも指摘され、それを検出するシグネチャも発表されました。Hajime の作成者はこれにも気付いていたようで、今では、指摘されていたバグはいずれも修正され、シグネチャは機能しなくなっています。いわば、このレポートが作成者にとって無償の品質保証になり、修正が必要なバグを教えてあげたような形になったとも言えます。
今回は、作成者のバグ修正を後押ししたことがそれほど大きいダメージにはつながらなかったようですが、セキュリティ研究者が思いがけずマルウェア作成者に加担してしまう可能性を考えると、不安は尽きません。マルウェアレポートでは、IT チームがデータ侵害を特定できる十分な情報を盛り込む必要がある一方、攻撃者にとっては手引きや重要な手がかりにならない程度に情報を抑えなければならず、微妙なバランスが求められます。マルウェアで見つかった誤りを指摘しても、それに意味があることはほとんどありません。防衛側にとっては、ほとんど対策に通じる情報とはならないからです。ポーカーの極意と同じで、研究者は必要がない限り、誰にも手の内をさらけ出さないよう心がけるべきでしょう。
攻撃に対する備え
IoT デバイスをお使いになるときは、デバイスがマルウェアに感染しないように、以下の手順を実行してください。
- IoT デバイスは、購入する前に特徴とセキュリティ機能を確かめる。
- ネットワーク上で使う IoT デバイスの点検を実施する。
- デバイスでデフォルトのログイン情報は必ず変更する。デバイスのアカウントと Wi-Fi ネットワークには強力なパスワードを使い、他のサイトと兼用しないようにしてください。
- Wi-Fi ネットワークアクセスを設定する際には、強力な暗号方式(WPA)を使う。
- 不要な機能やサービスは無効にする。
- Telnet ログインを無効にし、可能な限り SSH を利用する。
- ルーターの UPnP(Universal Plug and Play)機能は、どうしても必要な場合を除いて無効にする。
- 要件とセキュリティポリシーに従って、IoT デバイスのプライバシー設定とセキュリティ設定を変更する。
- 不要な場合には、IoT デバイスへのリモートアクセスを無効にするか、保護する。
- 可能であれば、ワイヤレス接続ではなく有線接続を使う。
- ファームウェアの更新がないかどうか、メーカーの Web サイトを定期的にチェックする。
- ハードウェアの停止によって、デバイスが無防備な状態にならないようにする。
保護対策
シマンテックとノートンの製品は、このブログでお伝えした脅威を以下の定義で検出します。
参考資料
IoT デバイスのセキュリティについて詳しく知りたい方は、シマンテックのホワイトペーパー『Insecurity in the Internet of Things(「モノのインターネット」の危険性)』(英語)をお読みください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】