「史上類を見ないレベル」のDDoS攻撃を実行可能と評されるマルウェア「Mirai」を10代の少年3人が構築した経緯とは?

GIGAZINE



マルウェアの一種である「Mirai」は、Linuxで動作するコンピューターを、大規模なネットワーク攻撃の一部として利用可能な、遠隔操作ができるボットへと変化させるマルウェアです。これまで「Mirai」は大規模かつ破壊的なDDoS攻撃に用いられたことが報告されています。そんな「Mirai」を構築した3人の人物について、アメリカ電気電子学会の技術誌・IEEE Spectrumが解説しています。

The Strange Story of the Teens Behind the Mirai Botnet – IEEE Spectrum
https://spectrum.ieee.org/mirai-botnet


ニュージャージー州ファンウッドで生まれ育ったパラス・ジャー氏は、幼いころからコンピューターやコーディングの分野に明るく、「Minecraft」をプレイした際には、Minecraftサーバー上でライバルに対してDDoS攻撃を仕掛ける一方、DDoS攻撃から被害を最小限に食い止めることに取り組みました。この経験もあって、ジャー氏は後にDDoS攻撃への対策サービスとして「ProTraf Solutions」を創設しています。

当時ラトガース大学の1年生だったジャー氏は、上級生が優先的に人気の授業を履修できるシステムに不満を持っていました。そこで、2014年11月にジャー氏はラトガース大学のシステムに対してDDoS攻撃を行い、履修登録を妨害しました。また、ジャー氏は2015年3月にも再度ラトガース大学に対してDDoS攻撃を行い、4日間にわたって約5万人の学生や教職員が大学のコンピューターやネットワークにアクセスできない状況を作り出しました。

ジャー氏は「ラトガース大学はDDoS攻撃への対策システムとして、Incapsulaのような質の低いプロバイダーを導入しています」と主張し、自身が創設したProTraf Solutionsのサービスを導入することを要求しています。その後もジャー氏はラトガース大学に対して複数回にわたりDDoS攻撃を行っています。

その後大学内で孤立していたジャー氏はラトガース大学を2年生の時点で中退し、ハッカー仲間で当時DDoS攻撃対策の仕事を行っていたジョサイア・ホワイト氏や、ダルトン・ノーマン氏とともに、著名なDDoS攻撃チームだった「VDoS」との対立関係を生み出しました。


DDoS攻撃チームの「VDoS」は、イスラエルを拠点とする10代の若者たちによって構成された組織で、お金を払えば標的のサイトにDDoS攻撃を行う「booter」と呼ばれるDDoS攻撃の代行サービスを運営していました。

ジャー氏らのグループでは、ノーマン氏がソフトウェア上の脆弱(ぜいじゃく)性を見つけ出し、ホワイト氏がそれを悪用するボットネットマルウェアを構築、ジャー氏がボットネットを管理するためのソフトウェア開発を行い、VDoSとの対立関係を深めていきました。

一方でVDoSはLizard Squadと呼ばれる別のDDoS攻撃グループと提携し、PoodleCorpと呼ばれる新たなグループを結成しました。PoodleCorpは1300台にも上る脆弱なウェブカメラをハッキングして、毎秒400ギガビットという記録的なトラフィックを標的に送信することが可能な巨大ボットネットの構築に成功しています。

PoodleCorpのボットネットが注目を集める中、ジャー氏らのグループはついに「Mirai」と呼ばれるボットネットマルウェアを完成させました。アニメ「未来日記」にちなんで名付けられた「Mirai」は、インターネットに接続された脆弱なビデオカメラや、旧式のリモートログインシステムである「Telnet」をサポートするデバイスなどのIoTデバイスをターゲットにしてマルウェアに感染させます。その後、世界中に拡散した「Mirai」はジャー氏が開発したC&Cサーバーを通じてリモートで運用され、DDoS攻撃を行います。さらに「Mirai」に感染したデバイスは、標的を攻撃していない時でも、ほかの脆弱なデバイスをスキャンし続け、感染デバイスの数を増加させます。

「Mirai」の公開後、「Mirai」は急速に拡散し、公開されて最初の20時間で約6万5000台ものデバイスに感染し、その後76分ごとに約2倍の規模で感染が広がっていました。最終的に感染したデバイスの数は約50万台にも上ったとされています。


ジャー氏のグループやPoodleCorpによるDDoS攻撃の拡大を受けて、連邦捜査局(FBI)のサイバー犯罪特殊部隊は、当時著名だったPoodleCorpのメンバーに対する捜査を続けていました。その後、2016年9月8日にFBIはイスラエル警察とともに、PoodleCorpのメンバーの逮捕を行い、同グループを事実上解体しました。

対立するグループがいなくなったジャー氏らのグループは、FBIによる捜査を巧みに掻い潜ると同時に、2016年9月下旬には「Mirai」のほぼすべてのソースコードをハッカーが集まるフォーラムで公開しました。マルウェアのソースコードをオンラインで公開することで、FBI等に逮捕された場合に「インターネットからダウンロードした」という言い逃れができるため、オープンソースでの公開は珍しいことではないとのこと。


ジャー氏らがソースコードをオンラインで公開すると、「Mirai」はハッカーらの手によってDDoS攻撃に使用されるようになり、2016年10月21日にはニューハンプシャー州マンチェスターに本社を置き、DNSサービスを提供するDyn社が攻撃を受けました。Dyn社に対する大規模なDDoS攻撃の結果、同社の顧客であるTwitterやPlaystation Networkなどのサービスが断続的に利用できなくなる事態に発展しました。

2017年になってFBIによる調査が行われ、その結果ジャー氏らのグループは逮捕されました。しかし、ジャー氏ら3人は、容疑を認め、反省の意を表明しており、法執行機関による求めを受けて十数件の事件に関する捜査を手伝ったことから、求刑された10年にわたる懲役刑ではなく、5年の保護監察処分が言い渡されました。

「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 – GIGAZINE


また、3人には12万7000ドル(約1700万円)の賠償金とFBIへの協力を含めた計2500時間の社会奉仕が命じられています。その後、ジャー氏らは自身が公開した「Mirai」を用いた犯罪者を追い詰め、法執行活動に貢献し、DDoS攻撃の防止に寄与しました。

この記事のタイトルとURLをコピーする

Source