情報処理安全確保支援士試験 令和5年秋期午前Ⅱ マルウェアMirai
出典:令和5年秋期 午前Ⅱ 問6
分野:セキュリティ / 情報セキュリティ
マルウェアMiraiの動作はどれか。
- ア:IoT機器などで動作するWebサーバプログラムの脆弱性を悪用して感染を広げ,Webページを改ざんし,決められた日時に特定のIPアドレスに対してDDoS攻撃を行う。
- イ:Webサーバプログラムの脆弱性を悪用して企業のWebページに不正なJavaScriptを挿入し,当該Webページを閲覧した利用者を不正なWebサイトへと誘導する。
- ウ:ファイル共有ソフトを使っているPC内でマルウェアの実行ファイルを利用者が誤って実行すると,PC内の情報をインターネット上のWebサイトにアップロードして不特定多数の人に公開する。
- エ:ランダムな宛先IPアドレスを使用してIoT機器などに感染を広げるとともに,C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。
TSUNAGARU-ADVICE
まず押さえたいこと
Miraiは、主にIoT機器を標的に感染を広げ、C&Cサーバからの指令に従ってDDoS攻撃を行うマルウェアです。
迷ったときの判断軸
MiraiはWebページ改ざんや不正JavaScriptの挿入を目的とするものではありません。ランダムな宛先IPアドレスを探索し、脆弱なIoT機器などに感染を広げ、多数の感染機器をボットネット化してDDoS攻撃に使うと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、マルウェア名を覚えるだけでなく、何に感染し、どのように広がり、最終的に何を行うのかを流れで読み取る力が問われます。MiraiはIoT機器・ボットネット・C&C・DDoS攻撃をセットで理解しておきましょう。
Mirai(ミライ)は、ネットワークカメラ・家庭用ルータ・スマート家電などのIoT機器に感染するマルウェアです。感染した機器は、攻撃者に遠隔操作される「ボット」になります。
Miraiは、インターネット上のIPアドレスをランダムに探し、感染できそうなIoT機器を見つけます。標的を見つけると、初期設定のID・パスワードや、単純なID・パスワードの組み合わせを使ってログインを試みます。
ログインに成功すると、その機器をボット化し、さらに別の機器を探します。この動作を繰り返すことで、多数のIoT機器からなるボットネットを作ります。
Miraiによって作られたボットネットは、大規模なDDoS攻撃に使われたことで知られています。また、Miraiのソースコードは公開されているため、多くの亜種が作られ、現在もIoT機器にとって大きな脅威となっています。
主な対策は、次のとおりです。
つまりMiraiは、「初期設定のまま使われているIoT機器を狙って感染を広げ、DDoS攻撃に悪用するマルウェア」と考えると分かりやすいです。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:IoT機器などで動作するWebサーバプログラムの脆弱性を悪用して感染を広げ,Webページを改ざんし,決められた日時に特定のIPアドレスに対してDDoS攻撃を行う。
⇒Webページを改ざんする、という点で違います。Miraiは主にIoT機器をボット化し、C&Cサーバからの指令でDDoS攻撃を行います。
イ:Webサーバプログラムの脆弱性を悪用して企業のWebページに不正なJavaScriptを挿入し,当該Webページを閲覧した利用者を不正なWebサイトへと誘導する。
⇒Webサイト改ざんや不正スクリプト挿入の説明です。Miraiの動作ではありません。
ウ:ファイル共有ソフトを使っているPC内でマルウェアの実行ファイルを利用者が誤って実行すると,PC内の情報をインターネット上のWebサイトにアップロードして不特定多数の人に公開する。
⇒情報漏えい型マルウェアの説明です。IoT機器へ感染を広げ、DDoS攻撃を行うMiraiの説明ではありません。