Miraiに感染する機器の観測状況

Posted at 2025-03-14

はじめに

はじめまして、三菱電機の坂本です。

三菱電機　情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。

運用しているハニーポットの1つに、IoT機器を応答機能に設置した「IoT家電ハニーポット」があります。これは、IoT機器の普及に伴い増加した「IoT家電を使用している家庭」を模擬しています。

ハニーポットとは、攻撃される環境を模擬した囮システムであり、サイバーセキュリティの研究に使用されます。一般的に、攻撃を観測したいシステムを模擬するため、様々な種類のハニーポットが目的に合わせて設置されています。

IoT家電ハニーポットでは、IoT家電を標的としたサイバー攻撃を観測しており、さらに、IoT家電に搭載されたサーバ類を標的としたサイバー攻撃についても観測しています。

今回は、IoT家電ハニーポットで観測した、Miraiに感染した機器の攻撃件数や、攻撃パケット内に含まれるIPアドレスについて分析した結果をご紹介します。

MiraiはルーターやWebカメラなどのIoT機器を標的とするマルウェアです。

IoT機器がMiraiに感染すると、他のMiraiに感染したIoT機器とボットネットと呼ばれるグループを構築し、DDoS(Distributed Denial of Service attack)攻撃と呼ばれる攻撃対象の機器に一斉に大量の通信を行う攻撃を行います。

攻撃を受けた機器は大量の通信を処理しきれず、処理能力が低下し、最悪の場合、機器が停止してしまいます。

MiraiはIoT機器のデフォルトのユーザ名およびパスワードを利用して機器への侵入を試みます。

一度IoT機器が感染すると、MiraiはそのIoTデバイスを制御下に置き、他のデバイスへの侵入を試みます。

Miraiに感染した機器の攻撃パケットには以下の特徴があります。

2024年11月16日～2025年2月15日の期間にて、弊社ハニーポットで運用している1つのIPアドレスに対し、上記の特徴を持つ攻撃を1,473,544件観測しました。

以下の観測期間、分析対象、観点で分析を実施しました。

観測期間：2024年11月16日～2025年2月15日

分析対象：以下の条件を満たすパケット1,473,544件

分析観点

Miraiに感染した機器による日別の攻撃件数は以下のとおりです。

Miraiに感染した機器による攻撃は毎日観測されており、少ない日でも2,000~3,000件の攻撃が確認されました。
多い日では50,000件の攻撃あり、特に攻撃が多かった12/14には103,217件ものパケットを観測しました。

12/14に観測されたデータを分析してみると、受信されたパケットの内、41.0%がアメリカの、38.5%が日本の、それぞれ特定の1つのIPアドレスから送信されたパケットで、12/14に観測された攻撃のほとんどはこの2つのIPアドレスからの攻撃でした。

12/14に観測されたデータでは2つのIPアドレスからの攻撃が多かった一方、観測期間全体で見ると、特定のIPアドレスからの攻撃が突出していた訳では無く、様々なIPアドレスを観測しました。

攻撃元の国の割合は以下のとおりです。

攻撃元の国としては、台湾、中国、アメリカの順に多い結果となりました。

日本からの攻撃も上位10番目に多いことを確認し、割合としては1.5%でした。

Miraiに感染しないための対策としては、IoT機器にログインする際のパスワードを複雑かつ長いものに設定することが有効と言われています。

Miraiはデフォルトのユーザ名およびパスワードでIoT機器の侵入を試みる特徴があるので、IoT機器のパスワードをデフォルトから他の人に解読されにくいパスワードに設定することで、MiraiによるIoT機器の侵入のリスクを大幅に低減させることが可能です。

また、IoT機器の電源を入れたまま長期間放置していると、インターネット経由でIoT機器が乗っ取られるリスクが高まります。

更に、乗っ取られたことに気づくのが遅れるため、被害が拡大しやすい傾向にあります。

上記のリスクを低減させるために、IoT機器を使用しない期間は電源を落とすことが重要です。

ここまでお読みいただきありがとうございました。

今後も、ハニーポットを用いた観測・分析結果について、こちらで発信していく予定です。

ご質問やコメントもお待ちしております。