「Miraiよりかなり洗練されたIoTワーム、"Hajime"」

news.softpedia.com

史上最大のDDoS攻撃に使われたIoTワーム「Mirai」のソースコードが少し前に公開されましたが、その調査の過程で、セキュリティ企業Rapidity Networksの研究者たちが少し異なるワームを発見しました。彼らはこの新ワームに対して、"Hajime"と名付けました（同じ日本語由来だからだそうですが……）。

ちなみに、ファイルの更新日時からはヨーロッパあたり（の時間帯）で生活している可能性が示唆されています。

Hajimeは、他の同様のIoTワームを参考にしているようで、それらの特徴を「いいとこどり」した動作をします。ただし、Hajimeの活動はMiraiのソースコード公開より前からなので、（同一人物のものでない限り）HajimeがMiraiのコードを利用した可能性はあまりないとみられます。

Rexと同様、DHT（分散ハッシュテーブル）を用いてP2Pボットネットを形成する

Miraiと同様、よくあるアカウント名とパスワードの組み合わせで侵入を試みる

NyaDropと同様、多段階の侵入機構をもつ

C言語で書かれており、様々なCPU（ARMv5, ARMv7, x86-64, MIPS）に対応する

各種の非PCデバイス（ルータ、テレビ録画機、監視カメラなど）に侵入しボット化する

MiraiやHajimeに限らず、ネットに接続する機器は次のような原則に注意しないと、ボットを増やすだけですね。しかし廉価な機器にこれらを求めるのは難しそうな気がします。

デフォルトパスワードは変更する（変更不可能なバックドアアカウントがある機材は接続しない）

不要なサービスは有効化しない

なるだけルータなどで不要なポートへのアクセスは遮断す

そういえば、Miraiの作者は自称「Anna-senpai」ですが、検索するとラノベ／アニメの「下ネタという概念が存在しない退屈な世界」の登場人物のようですね。

Re:Mirai (#3093236) | IoTデバイスを乗っ取ってDDoS攻撃を行うマルウェアのソースコードが公開される | スラド

https://security.srad.jp/comment/3093236

「Mirai」という名前の由来が未だに出てこないのが不思議ですが。Wikipediaでは「みらい」という語はないですね。

なお、Miraiはソース開示の結果、感染がさらに広がっているようです。

「Mirai IoTマルウェア感染デバイス、ほぼ50万台に」

news.softpedia.com

（追記）

10月21日夜からの多くのサービスの不調も、Miraiによる攻撃と判断されたようです。この攻撃はまだ続くとみられています。今後のインターネットの運命やいかに……。

「金曜の米東海岸におけるネット停止は大規模DDoS攻撃によるもの」

www.wired.com

Dyn said on Friday evening that the security firms Flashpoint and cloud services provider Akamai detected Mirai bots driving much, but not necessarily all, of the traffic in the attacks.

（（今回の攻撃を受けたドメイン管理社の）Dynが金曜夜に述べたところでは、セキュリティ企業FlashpointならびにCDN企業Akamaiの調査で、今回の攻撃のトラフィックのうち全てではないものの多くがMiraiボットによるものと判定されたとのこと）

この件、日本語だと日経、Engadget、ITmediaだけ扱ってますね。規模の割に扱いが小さいような……？

itpro.nikkeibp.co.jp

米国でDNSサービスを狙ったDDoS攻撃が断続的に発生。TwitterやSpotify、PSNなど著名サイトがアクセス困難に

japanese.engadget.com