Mirai ボットネットをもてあそぶ新たな IoT マルウェア「Hajime」

「Hajime」と名付けられたこのマルウェアは、昨年 10 月に DNS プロバイダーの Dyn に対して実行されたテラビットクラスの大規模 DDoS 攻撃に使用された悪名高い IoT ボットネット「Mirai」に対し、最初から恨みを持っていたようです。

Mirai の攻撃から数週間後に Rapidity Networks の研究チームによって発見された時からずっと、Hajime の奇妙さは数ある IoT マルウェアの中でも際立っていました。

どうやら Hajime は Mirai をモデルに作成されたようで、Mirai がターゲットとしていたのと同じ Telnet ポートがセキュアではない IoT デバイスをスキャンし、ほぼ同じパスワードとユーザー名の組み合わせを試し、同様のコマンドを実行して、侵入していました。

Hajime はターゲットを手中に収めると、ライバルである Mirai で使用されているポートの一部をブロックします。これは Mirai にとって腹立たしいに違いありません。Hajime には、DDoS 攻撃の開始に使用されるモジュールが存在しないため、主な動作はコマンド&コントロール (C2) サーバーに連絡することです。連絡を受けた C2 サーバーは、10 分おきにデバイスの端末に表示される署名付きメッセージを返します。

最新バージョンには次のような記述があります。

(引用文日本語訳) いくつかのシステムを保護しているホワイトハットハッカーです。

重要なメッセージはこのように署名されます!

Hajime の作成者。

以上。

警戒を怠らないでください!

推定によると、ブラジル、イラン、タイ、ロシア、トルコなどの国々で少なくとも「数万台のデバイス」が Hajime に乗っ取られています。BackConnect という企業は、感染数を約 10 万台と推測しており、この種のボットネットでは大規模な方ではないとしています。

Mirai が昨年発見されて以来減少している一方で、Hajime は増加していますが、その要因の 1 つとして Hajime が Mirai のターゲットを奪っていることが挙げられます。

とはいえ、Hajime も簡単に拡散できた訳ではないようです。Hajime は、Mirai が使用している従来型の C2 を嫌い、一般的な Torrent プロトコルに基づいた新しい分散型ピアツーピア (P2P) を好んで使用します。しかし、Mirai と同様、Hajime も感染したデバイスを再起動すれば消去されるため、毎回ターゲットに感染する必要があります。

結局のところ、Hajime は我々の味方なのでしょうか、敵なのでしょうか? それとも味方であり敵でもあるのでしょうか?

Mirai をターゲットにしていることから、Hajime はホワイトハット (善人) でもブラックハット (悪人) でもなく、非倫理的手段で倫理的な目的を達成しようとによる「グレーハット」な自警団だと結論付ける人もいるでしょう。

Mirai (未来) から着想を得てこのボットネットを「Hajime (始め)」と名付けたのは Rapidity Networks の研究チームですが、Hajime の作成者自身も端末に表示されるメッセージでこの名前を使用しています。このことから、作成者が Rapidity の報告書を読んだことが分かります。報告書は、不具合が修正されていることにも言及しています。

これは猫とネズミの壮大な追いかけっこというよりも、Hajime による自警主義を強く感じます。これまでのところ、Hajime でペイロードは実行されていませんが、今後どうなるかは分かりません。さまざまな工夫が凝らされていることを考えれば、その可能性は十分あります。

議論の余地はありますが、規模がこれほど大きく、正当な所有者がいるデバイスに感染している場合、グレーハットハッキングなどというものは存在しません。確かに、デバイス側の構成にもセキュリティ上の問題はありますが、だからといってより高度なマルウェアに感染させても、その問題が解決するとは思えません。

すべての IoT デバイスユーザーには、「デバイスを保護してください」というアドバイスを贈ります。また、デバイスのベンダーに対しては、セキュリティに真剣に取り組み、ファームウェアを更新するようお願いします。Mirai と Hajime の問題については、適切なパスワードとユーザー名を使用することから始めてください。

Hajime に感染しているユーザーの大半は、自分が感染したことに気付いていません。残念ながら、IoT デバイスはいったんオンにされた後、ユーザーにその存在を忘れられてしまうものです。その場合、今後何年間も Hajime や Mirai などのマルウェアに感染したままの状態が続く可能性があります。