SOHO向けのルータを乗っ取り、そのネットワークをスレーブ化することで構築した、DDoS用の大規模なボットネットの存在が明らかになった。

サイバーセキュリティ企業Incapsulaが米国時間5月12日に公開したレポートによると、SOHO向けルータのセキュリティまわりの運用が厳格でないために、大量のルータが乗っ取られ、ボットネットのネットワークを構成するスレーブシステムとして悪用されているという。

「Imperva Incapsula」サービスの提供を受ける数十の顧客は最近、乗っ取られたルータで構成されたDDoS用のボットネットから、アプリケーション層に向けた一連のHTTP Flood攻撃を受けた。こうした攻撃が2014年12月に初めて検出されて以来、Incapsulaはこの攻撃を軽減しようと取り組んできている。しかしこの30日間で、それまで記録されていた数の倍にあたるIPからの攻撃を受け、攻撃は新たな段階に達した。





Incapsulaは調査の結果、同社の監視するドメインに対する攻撃は、氷山の一角であるという事実を発見した。同社ネットワークの外部では、ずっと規模の大きなDDoS用のボットネットが「大量の」他のドメインを攻撃していたのだ。さらに、アプリケーション層に対するHTTP Flood攻撃以外の攻撃ベクタも使われており、大量のネットワーク層に対するDDoS攻撃も含まれていることが分かった。

しかしこのボットネットが特殊なのは、SOHO向けルータが大半を占めており、特にARMアーキテクチャをベースにした「Ubiquiti」のルータが目立っているという点にある。

「数十万、さらには数百万にものぼる」ルータがスレーブ化され、DDoS用のボットネットに力を与えるようになったのは、デフォルトのパスワードを変更し、ネットワークを暗号化するといった基本的なセキュリティ対策を怠ったISPやベンダー、ユーザー自身によって引き起こされた可能性が高く、これによって企業とコンシューマーの双方に大きな被害が与えられる恐れもあるとIncapsulaは述べている。

Incapsulaの研究者らは、HTTPやSSHによるリモートアクセスが、すべてのルータでデフォルトポート経由で可能となっていたうえ、「ほとんどすべてのルータがベンダーによって提供されたデフォルトのログイン認証情報をそのまま使っていた」ことを発見した。

デフォルトのログイン認証情報を用いてアクセス可能な待機中のSSHポートを通じて、機器を探し出すシェルスクリプトを実行することで、ボットネットに新たな機器が追加されているとIncapsulaは確信している。

こうしたずさんなセキュリティプラクティスの結果、これらのルータを乗っ取った攻撃者は通信内容を傍受したり、中間者（MitM）攻撃を仕掛けたり、クッキーを乗っ取ってセッションをハイジャックしたり、ローカルネットワークに接続されている機器にアクセスできるようになる可能性がある。

1万3000件のマルウェアファイルを分析した結果、研究者らは攻撃を受けたルータが全てMrBlack（Trojan.Linux.Spike.A）と呼ばれるマルウェアの亜種や、DoflooおよびMaydayを使って乗っ取られたものと判断した。これらのマルウェアは全て、これまでDDoS攻撃に利用されている。ただし、研究者らは複数のグループまたは複数の個人の仕業であるとみており、新種のマルウェアが頻繁に追加されているとしている。





2014年12月30日から2015年4月19日にかけて、Incapsulaは世界の1600のISPに属する4万269件のIPからの攻撃トラフィックを計測した。また60以上のC&CシステムのIPを追跡した。乗っ取られたルータの64％はタイ、21％はブラジルに存在していた。一方、C&Cセンターの大半は中国と米国にあり、それぞれ73％と21％だった。

109カ国からの攻撃トラフィックが確認されている。





Incapsulaは調査結果を公開するのに先立ち、「特に著しく悪用される危険があると考えられる」ルータベンダーとISP各社に連絡した。ルータ所有者に対して、ルータ管理プラットフォームに対する全てのリモートアクセスを無効にし、ログイン情報を変更するよう呼びかけている。