脅威アドバイザリ:Mirai ボットネット

著者:Chad Seaman

概要

多くの方は、Malware Must Die サイトの記事や後日公開されたソースコード・リポジトリによって、Mirai ボットネットについてはすでにご存知でしょう。このアドバイザリでは、Mirai コードのリリース前およびリリース後に発生した攻撃イベントや調査結果に関する情報を報告します。また、関連する調査データおよび調査結果の収集プロセスの概要も記載されています。さらに、実際の攻撃で確認された特徴や、今後の Mirai ベース攻撃を検出して緩和する方法についても解説します。

攻撃イベントタイムライン、統計データ、特徴

Mirai 攻撃の特徴は、ジャーナリスト Brian Krebs 氏が投稿したセキュリティブログに対する攻撃で初めて確認されました。4 回のあった攻撃のうち、1 回目の攻撃のピークは 623 Gbps でした。以下のタイムラインは、Akamai によって緩和された 4 回の攻撃を示してします。

Krebs DDoS Attack Size and Dates
図 1:Mirai 攻撃の一例目となった Brian Krebs 氏に対する一連の攻撃

この一連の DDoS 攻撃の数日後、Mirai のソースコードが公開されました。次のタイムラインは、このコードのリリース後に Mirai 型と確認された攻撃の帯域幅(ギガビット/秒単位)を示しています。帯域幅のピークは依然としてかなり高いですが、リリース後の攻撃ではほとんどが 100 Gbps 未満になっています。さらに、ほとんどの攻撃は 3,000 万パケット/秒未満になっています。

Mirai Confirmed DDoS - After Source Code Release
図 2:Mirai コードのリリース後に Akamai が緩和した攻撃のタイムライン

ピークが 3,000 万パケット/秒を超えたのは、10 月 11 日の 261 Gbps の攻撃のみでした。全体的なパケットレートが下がった主因は、これまでの多くの Mirai 攻撃での追加パディングによる効果だと考えられます。ほとんどの攻撃イベントでは、少なくとも 512 バイトのデータでパディングされたペイロードによるベクターが使用されています。こうした大きなパケットは、本来ならより多くの帯域幅を消費しますが、通常はより低いパケットスループットになります。