Mirai (マルウェア)

Mirai に感染した端末は「高速スキャンフェーズ」に入り、インターネット上のランダムのIPアドレスのTelnetのポート（23番および2323番）に対し、非同期かつ『ステートレス』にTCP-SYNプローブを送信する^[17]。ただし、Mirai は米国郵便公社や米国防総省に割り当てられている IPアドレスといった、探索の対象としないサブネットマスクの表（テーブル）を有している^[18]。IoTデバイスがこのプローブに応答した場合、攻撃は「ログインフェーズ」に移行する。Miraiは、様々なIoT機器の出荷時に共通なユーザーネームとパスワードのテーブルを有しており、発見したIoTデバイスに対してログインを試行し、成功した場合はMiraiに感染させる^[9][19][20]。 新たにMiraiに感染したIoTデバイスがTelnetのアクセスを許可すると、IoTデバイスのIPアドレスとログインに成功した認証情報が、収集用サーバーへと送信される。

Mirai に感染した端末は、時折動作が遅くなったり^[19]、使用する帯域幅が増加することはあっても、普段通りに動作し、再起動するまでは感染したままである。再起動するとにMiraiは消去されるが、再起動したとしても直ちにログインパスワードを変更しない場合は、数分以内に再び感染する^[1][19][21]。

またMiraiは、感染時にTelnet、HTTP、SSHの各ポートを使用する「競合する」他のマルウェアの存在を検出し、検出された場合にはそれらをメモリ上から削除する。これらリモート管理にも使用されるポートをブロックすることで、正規の遠隔操作に必要な認証も遮断する^[21][22]。

多くのIoT 機器は初期設定のまま使用されており、その結果としてマルウェアの感染に対して脆弱である。いったん感染すると、感染した機器は攻撃者のコマンド・アンド・コントロール（C&C）サーバと通信する。攻撃者のC&Cサーバから、DDoS攻撃の対象が指示される^[19]。

多数の IoT 機器から同時に攻撃を行うことにより、受信リクエストの IP アドレスを監視し、特定の IP アドレスからの異常なトラフィックパターン（例えば、単一の IP アドレスから過剰なリクエストが送信される場合）を検出して遮断する一部の対 DoS 防御ソフトウェアの防御機能を無効化できる場合がある。さらに、単独の攻撃者では確保できない規模の帯域幅を動員した DDoS攻撃が可能となり、攻撃元の追跡も困難になる。

Mirai は、BASHLITE（英語版）と一緒に^[23]、コンピュータセキュリティを得意とするジャーナリストのブライアン・クレブスが執筆するブログの“Krebs on Security”に対する攻撃のために使用された。攻撃によるトラフィックは、620 Gbps ^{[註 3]}に達した^[25]。この攻撃により、ブログサービスを提供していたアカマイ・テクノロジーズは、このブログのサービスを休止することとなった^[24]。アカマイの代わりにウェブホスティングを申し出たある企業は、このような攻撃の対策には、年間15万ドルから20万ドル（約1560万円から2100万円）の費用がかかるとの見解を示した^[24]。2016年10月20日現在、彼のウェブサイトは Google が提供する、無料のDDoS対策サービスの“Google Project Shield”を利用して復旧している^[24]。

また、技術関連のニュースサイトである Ars Technicaは、フランスのウェブホスティングサービス企業である OVH に対して行われた攻撃では1 Tbps を記録したと伝えた^[9]。

同年10月21日に行われた、DNSサーバプロバイダーのダインに対する大規模DDos攻撃では Mirai に感染した大量のIoTデバイスが使われ、GitHub・Twitter・Reddit・Airbnb・Netflixといった有名サイトを含めた、多くのウェブサイトでアクセスできなくなった^[10][26]。このときの攻撃では、ダインは、10万台以上ものIoT機器から攻撃を受けることとなった^[10]。

Mirai は2016年11月に発生した、リベリアのインターネットインフラストラクチャーをターゲットにしたサイバー攻撃でも使われている^[27][28][29]。コンピュータセキュリティー専門家のケビン・ボーモント (Kevin Beaumont) は、攻撃の規模からしてダインを攻撃した人物と同じ者による攻撃だろうと語っている^[27]。

BKDR_MIRAI.A という亜種は、従来 Mirai が感染対象としていた Linux の IoTデバイスだけでなく、WindowsPC をも感染対象としている^[30]。Linux のデバイスに対しては従来のように Mirai に感染させるが、WindowsPC と認識した場合は、Mirai に感染させる代わりに BKDR_MIRAI.A 自身を複製して感染させる^[30]。感染した WindowsPC は、元の BKDR_MIRAI.A と同じ様に Linux と WindowsPC を捜索する^[30]。BKDR_MIRAI.A を使うことで、感染対象とするIoTデバイスの検索効率を上げることが意図されているものとみられている^[30]。

2017年1月17日、コンピュータ・セキュリティ分野のジャーナリストであり、Miraiによる攻撃を受けたことでも知られるブライアン・クレブス（英語版）は、自身のブログ「Krebs on Security」に記事を投稿し、マルウェアの作者であると考えられる人物の名前を公表した。クレブスは、Miraiの作者とされる「Anna-senpai」（アニメ『下ネタという概念が存在しない退屈な世界』のキャラクター・西宮アンナに由来する名前）の現実世界における正体について、DDoS攻撃対策サービス企業のオーナーであり、当時大学生でもあったアメリカ人である可能性が高いと述べている^[5]。

その後、元の記事の更新において、被疑者とされる人物がクレブスに対して回答し、自身がMiraiを書いたことを否定した^[5]。2016年10月に発生したDyn社へのサイバー攻撃（英語版）への関与について、FBIが被疑者とされる人物に事情聴取を行ったと報じられている^[31]。2017年12月13日、ブライアン・クレブスの指摘した被疑者を含む3名は、Miraiボットネットに関連する犯罪について有罪を認めた。3人は他のサイバーセキュリティ関連捜査に協力し、その結果、実刑は科されず、保護観察と社会奉仕活動の判決を受けた^[32]。

一方、miraiを利用した攻撃者の一人は、「BestBuy」「Popopret」「Spiderman」という別名でも知られており、英国国家犯罪対策庁（NCA）によると、「Miraiボットネットとして知られる感染コンピュータのネットワークを使用して、ロイズ・バンキング・グループおよびバークレイズ銀行を攻撃し、恐喝を行った」として告発されている。同報告によれば、彼はドイツからイギリスへ引き渡された。また、ケイはドイツテレコムのネットワーク上にある90万台以上のルーターを乗っ取った罪についても、法廷で有罪を認めている^[33][34]。

さらに研究者らは、「Nexus Zeta」というハンドルネームが、Miraiの新たな亜種（Okiru、Satori、Masuta、PureMasutaと呼ばれるもの）^[35][36][37]の作者であると指摘した。2018年8月21日、アメリカの大陪審は、「Nexus Zeta」として知られる当時20歳の男性を、プログラム、情報、コード、コマンドを意図的に送信し、その結果として保護されたコンピュータに対し、無許可で損害を与えたとして起訴した^[38][39]。この起訴状はアラスカ州アンカレッジの米連邦地方裁判所（英語版）に提出され、その後、容疑者は逮捕され、裁判にかけられた^[40]。