Mirai作者"Anna-senpai"
(ハンドルネーム)[註 1]
リポジトリ
github.com/jgamblin/Mirai-Source-Code
Mirai(ミライ[3]、日本語の未来に由来するとみられる[4][註 2])は Linux で動作するコンピュータを、大規模なネットワーク攻撃の一部に利用可能な、遠隔操作できるボットにするマルウェアである。ネットワークカメラや家庭用ルーターといった家庭内のオンライン機器(IoTデバイス)を主要ターゲットとしている[6]。Mirai によって構築されたボットネットは、2016年8月[7]、MalwareMustDieというマルウェア調査報告グループによって初めて発見され、コンピュータセキュリティを得意とするジャーナリストであるブライアン・クレブス(英語版)のウェブサイトに行われた2016年9月20日の攻撃[8] やフランスのインターネット関連企業である OVHに対する攻撃[9]、DNSサーバープロバイダの ダイン(英語版)を標的とした同年10月の攻撃(英語版)といった、かつてないほどの大規模[10] かつ破壊的なDDoS攻撃に使われてきた[11][12][13]。
Mirai のソースコードは同年9月下旬[10] に、ハッカーが集まるフォーラムで公開された[14]。そのため、Mirai のソースコードの一部は他のマルウェア開発に流用された[15]。 Mirai に感染した端末は、 IPアドレスを走査してIoTデバイスを探索する。ただし、Mirai は米国郵便公社や米国防総省に割り当てられている IPアドレスといった、探索の対象としないサブネットマスクの表(テーブル)を有している[16]。Miraiは、様々なIoT機器の出荷時に共通なユーザーネームとパスワードのテーブルを有しており、発見したIoTデバイスに対してログインを試行し、成功した場合はMiraiに感染させる[9][17][18]。Mirai に感染した端末は、時折動作が遅くなったり[17]、使用する帯域幅が増加することはあっても、普段通りに動作し、再起動するまでは感染したままである。更に、再起動したとしても、直ちにログインパスワードを変更しない場合は、数分以内に再び感染してしまうという[1][17]。また、感染したときに「競合する」マルウェアに感染していないかを検出し、感染していた場合はこれをメモリから削除し、リモート管理ポートをブロックする[19]。 パスワードが工場出荷時の設定のままになっていて、セキュリティの脆弱な数十万のIoTデバイスがMirai に感染している。感染した端末は、コマンド&コントロールサーバと通信するようになる[17]。この様に大量のIoTデバイスを支配することにより、異常なリクエストを送信してくる特定のIPアドレスに対して、ブロックやフィルタリングを行う対策は無効化される。 Mirai は、BASHLITE
動作
DDoS攻撃での利用