サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

Mirai 亜種の感染活動に関する注意喚起

最終更新: 2017-12-19 
各位

                                                   JPCERT-AT-2017-0049
                                                             JPCERT/CC
                                                            2017-12-19

                  <<< JPCERT/CC Alert 2017-12-19 >>>

                Mirai 亜種の感染活動に関する注意喚起
            https://www.jpcert.or.jp/at/2017/at170049.html

I. 概要
2017年11月ごろより、国内において Mirai の亜種による感染活動が確認され
ています。Mirai やその亜種などのマルウエアに感染した機器は、ボットネッ
トに取り込まれ、攻撃者により遠隔から命令をうけて、DDoS 攻撃などに悪用
される可能性があります。

/at/2017/at170049_fig1.png
図1: 定点観測システム TSUBAME における Mirai 亜種とみられる感染活動に関するスキャン観測状況 (2017年10月から2017年12月)
クリックすると拡大されます

JPCERT/CC、情報通信研究機構 (NICT) 、警察庁等の調査により、感染の拡大
のメカニズムに、既知の脆弱性 (CVE-2014-8361) が悪用されていることが確
認されています。また、調査の結果、感染に至っている機器の多くに、ロジテッ
ク株式会社製ブロードバンドルータの一部製品が含まれていることも確認され
ています。公開情報には、HUAWEI 社のルータ (HG532) が対象となっていると
の情報もあります。

ロジテック株式会社では、すでにこの問題を確認しており、2013年6月より順
次、修正済みのファームウエアが提供されていましたが、国内の感染活動の
広がりを受け、改めて利用者に対して対策を呼び掛けています。

    ロジテック株式会社
    ロジテック製 300Mbps 無線LAN ブロードバンドルータおよびセットモデル (全11モデル)に関する重要なお知らせとお願い
    http://www.logitec.co.jp/info/2017/1219.html

JPCERT/CC での観測では、感染に至っている機器は、国内の複数の ISP 事業
者においてみられることから、対策を進める上で影響を受ける製品の利用者へ
広く呼びかけることが必要であると判断し、複数の組織と共同して注意喚起を
発行いたします。

影響を受ける製品の利用者は、早期の対応を強く推奨いたします。


II. 対象
ロジテック株式会社によると、Mirai 亜種の感染拡大に用いられている脆弱性の
影響を受ける製品およびバージョンは、次のとおりです。

  - LAN-WH300N/DR   Ver2.14 より前
  - LAN-W300N/DR    Ver2.14 より前
  - LAN-WH300N/DRCV Ver2.14 より前
  - LAN-WH300N/DRCY Ver2.14 より前
  - LAN-W300N/R     Ver2.33 より前
  - LAN-W300N/RU2   Ver2.33 より前
  - LAN-W300N/RS    Ver2.33 より前
  - LAN-W300N/P     Ver3.09 より前
  - LAN-W300N3L     Ver1.13N3L より前
  - LAN-WH300N/DGR  Ver1.26 より前
  - LAN-WH300N/DGRU Ver1.26 より前

※ 2017年12月19日時点の情報であり、今後対象となる製品やベンダーが拡大
   する可能性もあります。


III. 対策
「II. 対象」に挙げた製品について、ロジテック株式会社からは、修正済みの
ファームウエアが提供されています。当該製品の利用者は、ファームウエアが
修正済みのバージョンになっていることをご確認ください。なお、既に感染し
た機器は、修正済みのファームウエアにアップデートすることで Mirai 亜種が
削除されます。 

  - LAN-WH300N/DR   Ver2.14    (2014年 6月11日公開)
  - LAN-W300N/DR    Ver2.14    (2014年 6月11日公開)
  - LAN-WH300N/DRCV Ver2.14    (2014年 6月11日公開)
  - LAN-WH300N/DRCY Ver2.14    (2014年 6月11日公開)
  - LAN-W300N/R     Ver2.33    (2013年11月 6日公開)
  - LAN-W300N/RU2   Ver2.33    (2013年11月 6日公開)
  - LAN-W300N/RS    Ver2.33    (2013年11月 6日公開)
  - LAN-W300N/P     Ver3.09    (2014年 8月22日公開)
  - LAN-W300N3L     Ver1.13N3L (2013年 6月25日公開)
  - LAN-WH300N/DGR  Ver1.26    (2014年10月15日公開)
  - LAN-WH300N/DGRU Ver1.26    (2014年10月15日公開)

Mirai やその亜種などのマルウエアは、脆弱性だけでなく、機器固有の ID や
パスワードを悪用して感染を拡大させることが知られています。利用中の機器
が感染してボットネットに取り込まれないようにするために、次の情報を参照
し適切な対策を施して利用することを推奨します。

    JPCERT/CC
    インターネットに接続された機器の管理に関する注意喚起
    https://www.jpcert.or.jp/at/2016/at160050.html

    JVNTA#95530271
    Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威
    https://jvn.jp/ta/JVNTA95530271/


IV. 参考
    ロジテック株式会社
    ロジテック製 300Mbps 無線LAN ブロードバンドルータおよびセットモデル (全11モデル)に関する重要なお知らせとお願い
    http://www.logitec.co.jp/info/2017/1219.html

    情報通信研究機構 (NICT)
    IoT製品の脆弱性を悪用して感染を広げる Mirai の亜種に関する活動 (2017-12-19)
    http://www.nicter.jp/report/2017-01_mirai_52869_37215.pdf

    IIJ
    国内における Mirai 亜種の感染急増 (2017年11月の観測状況)
    https://sect.iij.ad.jp/d/2017/12/074702.html

    HUAWEI
    Security Notice - Statement on Remote Code Execution Vulnerability in Huawei HG532 Product 
    http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en

    Fortinet
    Rise of One More Mirai Worm Variant
    https://blog.fortinet.com/2017/12/12/rise-of-one-more-mirai-worm-variant


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

緊急情報を確認する

おすすめ情報