2016年に出現したIoTマルウェアの「Mirai」と同様に、IoTデバイスに感染を広げるワーム「Hajime」が台頭し始めた。米Symantecがこの新たなワームに関する状況をレポートしている。

同社によるとHajimeはMiraiと同じように、Telnetのポートが開かれ、デフォルトのパスワードが設定されたままのデバイスを対象に感染を広げる。デバイスへのログイン試行では3種類のユーザー名とパスワードの組み合わせを用いるが、そのうち1つはMiraiでも用いられていたという。

一方でMiraiとは異なり、Hajimeはピア・ツー・ピアのネットワーク上に構築されている。コントローラのノードから送出されたコマンドモジュールが全てのピアに送られるため、コマンド＆コントロールサーバからのコマンドを受け取るMiraiのボットネットよりも堅牢で、解体が困難になっている。



IoTデバイスへの感染をめぐるマルウェアの戦いが発生か？ IoTデバイスへの感染をめぐるマルウェアの戦いが発生か？

また検出を回避する目的から、実行中のプロセスやファイルシステムで自身の動きも隠す機能を持つ。モジュール式のコードを採用していることから、実行中に自身のアップデートも可能で、SymantecはHajimeの作者が開発に相当な時間を費やしたとみている。同社の観測では、Hajimeの感染はブラジルやイランを中心に、過去数カ月で少なくとも数万規模に拡大している。

Miraiは日本語の「未来」を連想させ、作者は日本のアニメ作品のキャラクターを想定させる名前を使っている。Hajimeの名も日本語の「はじめ」を連想させるが、名付けたのは2016年10月にワームの存在をレポートしたRapidity Networksの研究チームだった。そのレポートからワームの作者自身も「Hajime」と名乗り出したようだ。

現時点でHajimeには、MiraiのようなDDoS（分散型サービス妨害）攻撃を仕掛ける能力がなく、感染を広げる以外にはコントローラからのメッセージを一定間隔で表示するという。メッセージの内容は、「Just a white hat, securing some systems.（システムを安全にするホワイトハッカー）」など数種類あり、作者は自身が善意のホワイトハッカーであり、感染デバイスのユーザーに危険性を警告する意図があるとみられている。

また、Hajimeが感染したデバイスではポート23、7547、5555、5358へのアクセスが遮断されるようになる。これらのポートはMiraiやその亜種などが感染活動に使用しているため、結果的にHajimeが感染したデバイスではMiraiやその亜種への耐性が高まるという。

Hajimeを発見した研究チームはバグを指摘し、検出するシグネチャも公開した。しかし作者がこのバグを修正し、シグネチャは機能しなくなった。一見するとHajimeは、作者の主張のように善意の存在に映るが、作者の意図が変われば大規模攻撃を仕掛けるボットネットに一変するため、Symantecは懐疑的にみる。HajimeはMiraiに似て、デバイスが再起動されれば消滅するため、仮に作者が主張する通りの善意の活動だとしても短命に終わると予想している。

いずれにしてもMiraiやHajimeは、IoTデバイスを狙って感染を広げる。Symantecは解説と合わせてIoTデバイスで講じるべきセキュリティ対策を紹介している。