昨年末、インターネットパフォーマンス管理Dynは、Miraiボットネットコンピューターのネットワークによって実行される大規模なDDoS攻撃に苦しみました。 それ以来、ミライはセキュリティコミュニティで悪名高い名前になりました。 ボットネットは、New York Times、Twitter、Spotifyなどの大規模サイトも混乱させました。

Miraiは、インターネット全体でIPアドレスをスキャンし、セキュリティで保護されていないIoTデバイスに感染し、それらを使用してDDoS攻撃を実行します。 Miraiは、ログイン資格情報を推測し、デバイスに既に存在するマルウェアを削除および置換するように設計されています。 特に、MiraiはIPカメラ、ルーター、DVRを対象としています。

Incapsulaの研究開発努力のおかげで、システム上のボットネット感染を検出するツールが手に入りました。 適切にMirai Vulnerability Scannerと呼ばれるこのツールは、ネットワーク上の1つ以上のデバイスに対するボットネットインジェクション攻撃をチェックします。

使い方

Incapsulaは、ツールの動作方法について説明しています。

[今すぐネットワークをスキャン]をクリックすると、スキャナーはパブリックIPアドレスを検出します。これは通常、ISPによってインターネットゲートウェイデバイスまたはケーブルモデムに割り当てられたIPアドレスです。 このデバイスは、多くの場合、ネットワーク上の他のデバイスをインターネットに接続するルーターおよびWi-Fiアクセスポイントとして機能します。 Miraiスキャナーは、ネットワークの外部からゲートウェイをチェックして、Miraiによる攻撃に対して脆弱なリモートアクセスポートがあるかどうかを確認します。 Mirai Scannerは、パブリックIPアドレスのみをスキャンできます。

Mirai Vulnerability Scannerがネットワーク上で脆弱なデバイスを検出した場合、次のタスクを実行します。

1. ネットワーク上の各IoTデバイスにログインし、パスワードを強力なパスワードに変更します。
2. ネットワークを再度スキャンして、脆弱性が解決されたことを確認します。

Miraiスキャナーには、次のようないくつかの例外があります。

• ゲートウェイ/ルーターでNAT（ネットワークアドレス変換）が有効になっている場合、Mirai Scannerはポート22/23でポート転送が有効になっているIPアドレスで構成されたデバイスのみをスキャンします。
• Mirai Scannerは、Mirai Scanner Webサイトへのアクセスに使用するコンピューターとは異なる専用IPアドレスを持つネットワーク上のデバイスをスキャンしません。

Mirai Scannerのベータ版は、Incapsulaから入手できます。