「改造版Mirai」を作った男の意外な正体!?(前編)

江添 佳代子

August 8, 2017 08:00
by 江添 佳代子

2017年7月21日、29歳の英国人ハッカーがドイツの裁判所で自らの罪を認めた。この容疑者は「ドイツで利用されているブロードバンドルーターをマルウェアに感染させるサイバー攻撃」に関与した疑いで2017年2月に逮捕されていた人物だった。そして翌週28日、有罪となった彼には執行猶予つきの判決(20ヵ月の禁固刑)が下った。

このように記すと、まるで「あっさりと解決した地味なニュース」のようだが、この事件はIoTのボットネット、ダークネットのコミュニティ、特定の国家を狙ったサイバー攻撃などに関心を持つ人々にとって興味深い側面がある。しかし、その背景にはいくつもの事柄が絡まっており、「それぞれに関する単発の報道」を読むだけでは全体像がさっぱり見えてこないので、本稿では順を追ってお伝えしていきたい。まずは彼が関与を認めた「ドイツのルーターに対するサイバー攻撃」について紹介しよう。

ドイツの大手ISPを襲った「改造版Mirai」

話の発端は昨年の冬に遡る。2016年11月27日、ドイツの大手ISP企業「ドイツテレコム(Deutsche Telekom、以下DT)」の顧客のブロードバンドルーターが大規模なサイバー攻撃を受けるという事件が発生した。当時、影響を受けた顧客の数は約90〜100万人と報じられていたが、最近では「125万台以上のルーターに」影響が出たとの報道もある
(筆者註:このドイツテレコムの事件、および犯人の逮捕に関してのみ大まかな概要を知りたい方は、今年3月の「THE ZERO/ONE」に掲載された「イギリス警察がドイツテレコムを攻撃した容疑者を逮捕」の記事を読むことをお勧めする)

この攻撃に用いられたのは、あの悪名高き「Mirai」の改造版(ELF_MIRAI.A)だった。Miraiとは、脆弱な状態のIoT製品(主にCCTVカメラなど)をボットネットに取り込むマルウェアである。このボットネットは昨年秋、著名なセキュリティ・ジャーナリストであるブライアン・クレブスのブログ「Krebs on Security」に620GbpsのDDoS攻撃を仕掛けたことでも一躍有名となった。
 
関連記事:ブライアン・クレブスを襲った史上最大級のDDoS攻撃 (1) 標的となった著名セキュリティ・ジャーナリスト

ソースコードの一般公開と、その影響

クレブスのブログやフランスのISP企業が未曾有のDDoS攻撃に襲われてから間もなく、Miraiの作者はマルウェアのソースコードを公開した。それ以降「誰でも入手できるようになったMirai」は様々な攻撃に用いられるようになり(報道の一例)、またMiraiの亜種やMiraiに類似した別のボットネットマルウェアも次々と確認されるようになった。

今回の事件を引き起こした改造版のMiraiは、新たな感染先の「ルーター」をスキャンしながら急速な勢いで広がった。そのため一部のDTの顧客はインターネットや固定電話、テレビのサービスが利用できなくなった。そこでDTは、同社が提供している2つのモデルのブロードバンドルーター(いずれも台湾のArcadyan Technology社製)のパッチを緊急で配布し、また影響を受けた顧客に対しては復帰時に「インターネットアクセスの無料サービス」を提供するなどの対応に追われることとなった。(※1)。

この攻撃が行なわれた翌11月28日、英国のITメディア『The Register』は、ドイツで猛威を振るった改造版Miraiの攻撃ベクトルを詳しく説明し、「英国内で利用されている多くのモデルのルーターも同じ危険に晒されていること」「攻撃者はルーターのDNS設定を変更し、ポート転送の設定を変更し、Wi-Fiの認証情報を盗み出すことができる可能性があること」などを指摘し、「このセキュリティの悪夢は拡散している」と表現した
 
※1…のちにDTは、その被害総額が約200万ユーロ(約2億6000万円)だったと語っている

誰が、何のためにルーターを攻撃したのか

同じく11月28日の『ロイター』は、DTのセキュリティ責任者によるコメントを掲載した。責任者は、今回の攻撃が「より広範なインターネット攻撃を行えるようにするため、大量のルーターをハッキングで乗っ取ろうとした犯人の試みが失敗に終わった結果だった」という調査結果を発表した。つまり攻撃者はDTの顧客に通信障害をもたらそうとしたのではなく、改造版のMiraiで大量のルーターをボットネットに取り込もうとして失敗したのだ、という説明である。

また米国のセキュリティ企業Tripwireは11月30日、「How “Peter Parker’s” Mirai Variant Took Down 900,000 Routers(直訳:『ピーター・パーカー』のMiraiの亜種は、いかにして90万台のルーターを利用不可能にしたのか)」という分析記事を掲載した(※2)。DTのルーターを襲ったMiraiの改造版を詳しく調査した同社は、このボットネットの活動に関与した複数のサーバーのドメイン登録情報が「ピーター・パーカー(Peter Parker)(※3)」と「スパイダーマン(Spider man)」の名前、およびイスラエルの住所に結びつけられていたことを見出した。

一方、『Motherboard』は11月29日に、独占取材を含めた興味深い記事を掲載していた。それは「改造版のMiraiを使って新しい『IoTデバイスの強力なハッキング』を開始した2人のハッカーが、Miraiのボットネットを有償で提供している」と伝える記事だった。同誌は次のように記している。
 
・「BestBuy」、「Popopret」と呼ばれる2人のハッカーが、新たなデバイス(主にルーター)を感染させるためにMiraiを改良したと主張している(※4)
・この新種を使えば、数十万台の、あるいは数百万台の新たな端末をボットネットに取り込むことができるかもしれないとセキュリティ研究者たちは語っている
・セキュリティ企業のMalwareTechによれば、現在インターネットに接続されている「Miraiに感染したデバイスの75%(約40万台)」は、この2人に制御されているという(※5)
・「BestBuy」は、すでに100万台のデバイスをハッキングしたと主張しており、また彼らはボットネットを有償で提供するビジネスを展開している

そしてMotherboardは、この「BestBuy」と呼ばれるハッカーにオンラインチャットで取材を行った。BestBuyは、DTのルーターに悪影響を与えたのは自分たちだと語り、「DTの顧客には申し訳ないことをした。あれは意図したことではなかった」とコメントしている。さらにBestBuyは、彼らが行っている「ボットネットのレンタル」についても次のように説明した。
 
・このレンタルサービスは、顧客のニーズにあわせて柔軟に対応している
・たとえば安価なところでは、2万〜2万5000のノードを2週間レンタルし、断続的に1時間の攻撃(攻撃と攻撃の間には15分のクールダウンが必要となる)を仕掛ける場合の料金が2000ドル(約20万円)
・しかし1万5000〜2万ドル(約150〜200万円)の場合は、60万台のボットで2時間の攻撃を行うことができる。こちらのパッケージは700Gps以上のトラフィックを提供するものだ

もちろん、これらは「闇のサービスの提供者」による主張なので、実際の彼らが本当に60万台のボットを制御し、700Gpsのトラフィックを送り込むことが可能だったのかどうかは分からない。なにしろオリジナルのMiraiで用いられるボット数は約20万台に限られていたとも言われている。しかしBestBuyが本当に「ルーターへの感染能力に長けた、強力な改造版のMirai」を作成したのなら、オリジナルでは実現できなかった規模のボットネットを築いたのだとしても、それは不可能ではない。
 
※2…ここでは非常に大雑把な形での言及となったが、このTripwireの記事は犯人のあぶり出しを意図したものではなく、DTの攻撃に用いられた問題のマルウェアを詳しく研究しており、「犯罪者たちによる今後のMiraiの利用方法」について考察している。
※3…ピーター・パーカーは「スパイダーマン」の主人公。
※4…この2人は同一人物だと指摘しているセキュリティ研究者もいる。
※5…このパーセンテージに関しても諸説ある。

BestBuyは何をしてきたのか

Motherboard も指摘しているとおり、「BestBuyによる巨大なボットネットのレンタルサービス」を最初に報じたのは、ITニュース『Bleeping Computer』の 11月24日の記事だった。ちなみに、この記事は「BestBuyとPopopretが同一人物」だと説明している。

同誌によれば、「BestBuyのボットネットサービス」を広告するスパムが初めて確認されたのは11月23日だったようだ。その広告は「40万台以上のデバイスによる、最も大規模なMiraiのボットネットのレンタル」を謳っている。それはDTのルーターに障害が起こるよりも前にばらまかれた広告だ。

Miraiを使ったボットネットワークレンタルサービスの広告(Bleeping Computerより

こちらのBleeping Computerの記事は、先のMotherboardの記事が触れていなかった重要なことも伝えている。それは「BestBuyなるハッカーは、GovRATの背後にいた人物であるらしい」という指摘である。

「GovRAT」とは、米国の政府と軍を標的として情報を盗み出そうとする攻撃に利用された高度なマルウェアの名前だ。2015年にGovRATを発見し、米国の政府機関へ報告を行ったセキュリティ企業InfoArmorのレポート(PDF)によれば、その活動のキーパーソンとなる人物は「高度に洗練されたサイバー犯罪者の集団」と協力関係にあるという。

彼らが活動しているのは、ダークウェブに存在する会員制フォーラムの「HELL」である。そこは「本気の(冷やかしではない、犯罪行為を目的とした)サイバー犯罪者たちが、データ漏えいや新しい脆弱性、販売用のプライベートなツールに関連した情報交換を行うための場所」であり、「Torネットワークの地下コミュニティの中でも現在、最も固く閉じられた場所のひとつ」でもある。また「メンバーの一部は、名の知られているプロの『雇われハッカー』」であるとInfoArmorは説明している。GovRATの活動のキーパーソンと考えられる「Popopret」も当然、同フォーラムの重要人物だ。そして、いくつかのダークウェブのマーケットでは「GovRATそのもののソースコード」の販売も行われているという。

InfoArmorによれば、GovRATの活動をInfoArmorが報告した頃から、BestBuyは「Popopret」を名乗るようになったのだが、HELLでは古いニックネームのままの「BestBuy」を名乗っているという。つまりInfoArmorも、この2人を同一人物だと考えている。この「GovRAT」の仕様、および攻撃の手法については、先述のPDFレポートで詳細に語られているので、興味のある方にはそちらを読んでいただきたい。

ここで、いったんBestBuyに関する情報をまとめてみよう。すべての情報源を信じるなら、そのハッカーは次のような人物だったと考えられる。
 
・「大量のルーターに拡散できる改造版のMirai」を作り出した張本人
・90万人(125万人?)のドイツ市民のルーターに、意図せぬ障害を引き起こした
・現在「Miraiに感染したIoT端末」の75%(?)の制御を握っている
・「最大のMiraiのボットネット」を有料でレンタルし、その宣伝も行っている
・以前は、米国政府を狙った高度なスパイ活動のマルウェアに深く関与していた(BestBuyが「Popopret」と同一人物であるなら)
・ダークウェブのサイバー犯罪フォーラム「HELL」の重要人物
・ピーター・パーカー、あるいはスパイダーマンの名でも活動している可能性がある
 
後編に続く




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

学校サイトに銃器売買の広告!? 中国ブラックハットSEO技術

August 14, 2017 08:00

by 牧野武文

安徽省合肥市の11の学校の公式サイトに、銃器売買、代理出産、替え玉受験、セックスドラッグなどの違法広告を表示させたとして、安徽省蘆江県検察院は、張家恒、陳安、潘志剛の3人を、計算機情報システム違法制御の罪で起訴をしたと検察日報が報じた。 怪しい公告はでない仕組み サイト運営者にとっては、埋め込み広告…