IIJ-SECT

IIJ

日本語 ⁄ English ]

Security Diary : 最新記事

国内における Mirai 亜種の感染急増 (2017年11月の観測状況)

IIJ のマルウェア活動観測プロジェクト MITF のハニーポットにおいて、11月にはいって国内からの Mirai 亜種によるスキャン通信が急増したことを確認しました。ユニークな送信元アドレス数からの推定では、国内において 4万台程度の感染規模と考えられます。本記事では最近の Mirai 亜種の活動の変化と国内での感染状況についてご紹介します。

WannaCry 亜種のその後の観測状況

2017年5月、ランサムウェア WannaCry の感染活動が世界中で観測されました。WannaCry は SMB の脆弱性を利用して感染を拡げるワーム機能を持っており、インターネット経由で爆発的に感染が拡大する要因となりましたが、幸いなことにキルスイッチ機能を持っていたため、比較的早い段階で収束しました。しかし 5月末からこのキルスイッチ機能を無効にした亜種の活動が観測されはじめ、6月以降も活発な活動が継続しています。本記事では IIJ のハニーポットで観測されている最近の WannaCry 亜種の活動状況を紹介します。

Mirai 亜種の活動状況について

前回の記事 では、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットに到達する通信の特徴から、Mirai および Hajime ファミリーの活動について紹介しました。本記事ではこれまでに知られている通信パターンに合致しない Mirai 亜種の最近の活動状況について解説します。

Hajime, Miraiによる通信の推移

前回の記事では、Hajime ボットの活動状況について、その動作の特徴や宛先ポートによる挙動の違いについて解説しました。本記事では Hajime と Mirai およびその亜種について、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットにおいて観測した通信の推移について示します。

Hajime ボットの観測状況

Hajime は IP Camera や DVR などのいわゆる IoT 機器に主に感染するボットで、2016年10月に Rapidity Networks によって最初に報告されました。同時期に Mirai ボットによる大規模な DDoS 攻撃が観測されたため、その影に隠れていましたが、2017年に入ってから感染活動が活発に観測されるようになりました。また 4月にはセキュリティベンダー各社から詳しい解説レポートが公開されています。本記事では、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットで観測された Hajime の最近の活動状況について報告します。