Mirai(ミライ[3]、日本語の未来に由来するとみられる[4][註 2])は Linux で動作するコンピュータを、大規模なネットワーク攻撃の一部に利用可能な、遠隔操作できるボットにするマルウェアである。ネットワークカメラや家庭用ルーターといった家庭内のオンライン機器(IoTデバイス)を主要ターゲットとしている[6]。Mirai によって構築されたボットネットは、2016年8月[7]、MalwareMustDieというマルウェア調査報告グループによって初めて発見され、コンピュータセキュリティを得意とするジャーナリストであるブライアン・クレブス(英語版)のウェブサイトに行われた2016年9月20日の攻撃[8] やフランスのインターネット関連企業である OVHに対する攻撃[9]、DNSサーバープロバイダの ダイン(英語版)を標的とした同年10月の攻撃(英語版)といった、かつてないほどの大規模[10] かつ破壊的なDDoS攻撃に使われてきた[11][12][13]。
Mirai のソースコードは同年9月下旬[10] に、ハッカーが集まるフォーラムで公開された[14]。そのため、Mirai のソースコードの一部は他のマルウェア開発に流用された[15]。
Mirai に感染した端末は、 IPアドレスを走査してIoTデバイスを探索する。ただし、Mirai は米国郵便公社や米国防総省に割り当てられている IPアドレスといった、探索の対象としないサブネットマスクの表(テーブル)を有している[16]。Miraiは、様々なIoT機器の出荷時に共通なユーザーネームとパスワードのテーブルを有しており、発見したIoTデバイスに対してログインを試行し、成功した場合はMiraiに感染させる[9][17][18]。Mirai に感染した端末は、時折動作が遅くなったり[17]、使用する帯域幅が増加することはあっても、普段通りに動作し、再起動するまでは感染したままである。更に、再起動したとしても、直ちにログインパスワードを変更しない場合は、数分以内に再び感染してしまうという[1][17]。また、感染したときに「競合する」マルウェアに感染していないかを検出し、感染していた場合はこれをメモリから削除し、リモート管理ポートをブロックする[19]。
パスワードが工場出荷時の設定のままになっていて、セキュリティの脆弱な数十万のIoTデバイスがMirai に感染している。感染した端末は、コマンド&コントロールサーバと通信するようになる[17]。この様に大量のIoTデバイスを支配することにより、異常なリクエストを送信してくる特定のIPアドレスに対して、ブロックやフィルタリングを行う対策は無効化される。
Mirai は、BASHLITE(英語版)と一緒に[20]、コンピュータセキュリティを得意とするジャーナリストのブライアン・クレブスが執筆するブログの“Krebs on Security”に対する攻撃のために使用された。攻撃によるトラフィックは、620 Gbps [註 3]に達した[22]。この攻撃により、ブログサービスを提供していたアカマイ・テクノロジーズは、このブログのサービスを休止することとなった[21]。アカマイの代わりにウェブホスティングを申し出たある企業は、このような攻撃の対策には、年間15万ドルから20万ドル(約1560万円から2100万円)の費用がかかるとの見解を示した[21]。2016年10月20日現在、彼のウェブサイトは Google が提供する、無料のDDoS対策サービスの“Google Project Shield”を利用して復旧している[21]。
また、技術関連のニュースサイトである Ars Technicaは、フランスのウェブホスティングサービス企業である OVH に対して行われた攻撃では1 Tbps を記録したと伝えた[9]。
同年10月21日に行われた、DNSサーバプロバイダーのダインに対する大規模DDos攻撃では Mirai に感染した大量のIoTデバイスが使われ、GitHub・Twitter・Reddit・Airbnb・Netflixといった有名サイトを含めた、多くのウェブサイトでアクセスできなくなった[10][23]。このときの攻撃では、ダインは、10万台以上ものIoT機器から攻撃を受けることとなった[10]。
Mirai は2016年11月に発生した、リベリアのインターネットインフラストラクチャーをターゲットにしたサイバー攻撃でも使われている[24][25][26]。コンピュータセキュリティー専門家のケビン・ボーモント (Kevin Beaumont) は、攻撃の規模からしてダインを攻撃した人物と同じ者による攻撃だろうと語っている[24]。
BKDR_MIRAI.A という亜種は、従来 Mirai が感染対象としていた Linux の IoTデバイスだけでなく、WindowsPC をも感染対象としている[27]。Linux のデバイスに対しては従来のように Mirai に感染させるが、WindowsPC と認識した場合は、Mirai に感染させる代わりに BKDR_MIRAI.A 自身を複製して感染させる[27]。感染した WindowsPC は、元の BKDR_MIRAI.A と同じ様に Linux と WindowsPC を捜索する[27]。BKDR_MIRAI.A を使うことで、感染対象とするIoTデバイスの検索効率を上げることが意図されているものとみられている[27]。
- ^ 下ネタという概念が存在しない退屈な世界という日本のライトノベル作品に登場するキャラクターの「アンナ・錦ノ宮」に由来する[1]。
- ^ 流出した、Anna-senpai とロバート・コエーリョ (Robert Coelho) の間で交わされたチャット記録によれば、Mirai という名は未来日記という日本の漫画作品にちなんで名づけられたという[5]。
- ^ このトラフィックは発生当時、史上最大のもので、以前史上最大と言われていたトラフィック量は300 Gbps とも400 Gbps とも言われているが、それの1.5倍から2倍ということになる[21]。
- ^ a b 江添佳代子 (2016年10月26日). “ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (7) 驚愕の1Tbps級DDoS攻”. 2016年10月31日閲覧。
- ^ “Mirai-Source-Code/LICENSE.md”. 2017年11月27日閲覧。
- ^ “IoT機器悪用、ウイルス「ミライ」世界で猛威”. YOUMIURI ONLINE (読売新聞社). (2016年10月29日). https://web.archive.org/web/20161030225126/http://www.yomiuri.co.jp/national/20161029-OYT1T50069.html 2016年10月31日閲覧。
- ^ Edward Cox (2016年10月23日). “Mirai IoT Botnet: 5 Fast Facts You Need to Know”. Mirai IoT Botnet: 5 Fast Facts You Need to Know. 2016年10月30日閲覧。
- ^ “Who is Anna-Senpai, the Mirai Worm Author?”. Krebs on Security. 25 January 2017閲覧。
- ^ Biggs, John (Oct 10, 2016). “Hackers release source code for a powerful DDoS app called Mirai”. TechCrunch. 19 October 2016閲覧。
- ^ njccic (December 28, 2016). “Mirai Botnet”. The New Jersey Cybersecurity and Communications Integration Cell (NJCCIC). 28 December 2016閲覧。
- ^ Krebs, Brian (September 21, 2016). “KrebsOnSecurity Hit With Record DDoS”. Brian Krebs. 17 November 2016閲覧。
- ^ a b c Bonderud, Douglas (October 4, 2016). “Leaked Mirai Malware Boosts IoT Insecurity Threat Level”. securityintelligence.com. 20 October 2016閲覧。
- ^ a b c d “「IoT乗っ取り」攻撃でツイッターなどがダウン”. YOMIURI ONLINE (読売新聞社). (2016年10月28日). https://web.archive.org/web/20161030132240/http://www.yomiuri.co.jp/science/goshinjyutsu/20161028-OYT8T50051.html 2016年10月31日閲覧。
- ^ Hackett, Robert (October 3, 2016). “Why a Hacker Dumped Code Behind Colossal Website-Trampling Botnet”. Fortune.com. 19 October 2016閲覧。
- ^ Newman, Lily Hay. “What We Know About Friday’s Massive East Coast Internet Outage” (英語). WIRED. https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/ 2016年10月21日閲覧。
- ^ “Dyn | crunchbase”. www.crunchbase.com. 2016年10月23日閲覧。
- ^ Statt, Nick (October 21, 2016). “How an army of vulnerable gadgets took down the web today”. The Verge. October 21, 2016閲覧。
- ^ Kan, Michael (October 18, 2016). “Hackers create more IoT botnets with Mirai source code”. ITWORLD. 20 October 2016閲覧。
- ^ Zeifman, Igal (October 10, 2016). “Breaking Down Mirai: An IoT DDoS Botnet Analysis”. Incapsula. 20 October 2016閲覧。
- ^ a b c d Moffitt, Tyler (October 10, 2016). “Source Code for Mirai IoT Malware Released”. Webroot. 20 October 2016閲覧。
- ^ Osborne, Charlie (October 17, 2016). “Mirai DDoS botnet powers up, infects Sierra Wireless gateways”. ZDNet. 20 October 2016閲覧。
- ^ Xander (October 28, 2016). “DDoS on Dyn The Complete Story”. ServerComparator. 21 November 2016閲覧。
- ^ “Double-dip Internet-of-Things botnet attack felt across the Internet” (2016年10月22日). 2017年2月18日閲覧。
- ^ a b c d 江添佳代子 (2016年10月20日). “ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (4) Akamaiが匙をなげるまでの2週間”. 2016年10月31日閲覧。
- ^ The Economist, 8 October 2016, The internet of stings
- ^ “Today the web was broken by countless hacked devices”. theregister.co.uk (21 October 2016). 24 October 2016閲覧。
- ^ a b “Unprecedented cyber attack takes Liberia's entire internet down”. The Telegraph. 21 November 2016閲覧。
- ^ “DDoS attack from Mirai malware 'killing business' in Liberia”. PCWorld. 21 November 2016閲覧。
- ^ “Massive cyber-attack grinds Liberia's internet to a halt”. The Guardian. 21 November 2016閲覧。
- ^ a b c d “Windows機器も拡散に利用、「Mirai」の変化に注意を”. is702. トレンドマイクロ (2017年2月15日). 2017年2月19日閲覧。