• Huaweiの家庭用ルータ「HG532」にゼロデイ脆弱性が見つかり、既に何十万回も悪用が試みられている事実が判明しました。
  • 拡散されたペイロードは、Miraiの亜種「OKIRU/SATORI」であることが確認されています
  • 背後に存在する攻撃者は、「Nexus Zeta」を名乗るアマチュア・ハッカーと見られています。

はじめに

この10年でインターネットに接続されたデバイス数は200億台を上回り、機能面でも年々着実に進化しています。利便性は向上していますが、チェック・ポイントの最新の調査結果を見る限り、十分なセキュリティを確保するにはまだまだ多くの課題があるようです。

ルータの悪用

2017年11月23日に、チェック・ポイントのセンサーとハニーポットが不審な挙動を知らせるセキュリティ・アラートを発しました。分析担当者が詳しく調査したところ、世界中のHuawei HG532で未知の脆弱性を悪用する多数の攻撃が確認されたのです。特にアメリカ、イタリア、ドイツ、エジプトなどで多くの攻撃が検出されています。2016年にMiraiボットネットが世界規模でインフラにダメージを与えましたが、今回の攻撃の目的はその新しい変異型を構築することでした。


図1:世界各地で攻撃が発生

 

仕組み

Huaweiのホーム・ゲートウェイ・ルータは、家庭や企業のネットワークと簡単かつシームレスに統合できるようになっています。この特性を実現するため、標準規格「TR-064」を介してUPnP(Universal Plug and Play)プロトコルを利用しています。

TR-064はローカル・ネットワーク向けに設計されており、基本的なデバイス設定やファームウェアのアップグレードなどを、エンジニアが内部ネットワークから実装できるようになっています。

しかし今回の調査では、Huawei製デバイスに実装されたTR-064により、リモートの攻撃者がそのデバイスに対して任意のコマンドを実行できることが判明しました。今回のケースでは、Miraiボットネットの新種の変異型を構築することを目的に、マルウェア「OKIRU/SATORI」が埋め込まれていました。

攻撃者は誰?

驚くほど大量のトラフィック、未知のゼロデイ脆弱性、および複数の攻撃サーバという特徴から、当初は攻撃者の見当が付かず、国家レベルの高度な攻撃や悪名高いサイバー犯罪集団の仕業などさまざまな憶測が流れていました。

しかし意外な存在が浮かび上がり、現在、新種のボットネットの構築を試みたのは「Nexus Zeta」を名乗るアマチュア攻撃者だと見られています。実際、Nexus Zetaはハッカーのフォーラムに参加し、必要な攻撃ツールの開発方法についてアドバイスを求めていた事実が確認されています。つまり、マルウェアのコードの漏洩と低レベルで悪用可能なIoTセキュリティが組み合わされば、スキル不足のハッカーでも危険な結果をもたらすことができるのです。

解決策

調査結果の事実確認ができた時点で、さらなる感染を防止するためHuaweiだけに脆弱性の情報が開示されました。同社のセキュリティ・チームによる情報伝達が迅速かつ効果的だったこともあり、Huaweiは脆弱性にすばやくパッチを当て、ユーザにも最新の情報を提供することができました。

それと平行してチェック・ポイントの製品チームもIPS機能を開発、リリースし、チェック・ポイント製品をご利用のお客様も早期に保護することができました。

今回試みられた攻撃の仕組みと背後にいる攻撃者について詳しくは、チェック・ポイントの研究調査のブログをご覧ください。