Mirai|情報処理安全確保支援士試験 令和7年春期午前Ⅱ 問7
出典:令和7年春期 午前Ⅱ 問7
分野:セキュリティ / 情報セキュリティ
マルウェアMiraiの動作はどれか。
- ア:IoT機器などで動作するWebサーバプログラムの脆弱性を悪用して感染を広げ,Webページを改ざんし,決められた日時に特定のIPアドレスに対してDDoS攻撃を行う。
- イ:Webサーバプログラムの脆弱性を悪用して企業のWebページに不正なJavaScriptを挿入し,当該Webページを閲覧した利用者を不正なWebサイトへと誘導する。
- ウ:ファイル共有ソフトを使っているPC内でマルウェアの実行ファイルを利用者が誤って実行すると,PC内の情報をインターネット上のWebサイトにアップロードして不特定多数の人に公開する。
- エ:ランダムな宛先IPアドレスを使用してIoT機器などに感染を広げるとともに,C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。
TSUNAGARU-ADVICE
まず押さえたいこと
Miraiは、主にIoT機器を狙って感染を広げ、C&Cサーバからの指令に従ってDDoS攻撃を行うマルウェアです。Webページの改ざんやJavaScriptの挿入ではなく、IoT機器をボット化する点が特徴です。
迷ったときの判断軸
Miraiの動作は、ランダムな宛先IPアドレスを探索し、認証情報の弱いIoT機器などに感染を広げる流れで整理すると判断しやすくなります。重要なのは、感染した多数のIoT機器を使ってDDoS攻撃を行うことです。
科目Bにつなげるために
科目Bでは、マルウェア名を覚えるだけでなく、何に感染し、どのように広がり、最終的に何を行うのかを流れで理解することが重要です。Miraiは、IoT機器の脆弱な認証情報を悪用してボットネットを形成し、DDoS攻撃に利用されるものとして整理しておきましょう。
Mirai(ミライ)は、ネットワークカメラ、家庭用ルータ、スマート家電などのIoT機器を乗っ取るマルウェアです。Miraiに感染したIoT機器は、攻撃者の命令を受けて動く「ボット」になります。多くの感染機器が集まると「ボットネット」と呼ばれる大きな攻撃用ネットワークになります。
Miraiは、インターネット上にあるIoT機器を探し回り、見つけた機器にログインしようとします。そのときに使うのが、工場出荷時のままのIDやパスワード、または「admin/admin」のような単純な組み合わせです。ログインに成功すると、その機器を感染させ、さらに別のIoT機器を探させます。この動作を繰り返すことで、感染した機器の数をどんどん増やしていきます。
Miraiによって作られたボットネットは、大量の機器から一斉に通信を送るDDoS攻撃に使われました。DDoS攻撃とは、標的のサーバーやサービスに大量のアクセスを集中させ、正常に使えない状態にする攻撃です。また、Miraiはソースコードが公開されてしまったため、それを改造した亜種も多く作られています。そのため、現在でもIoT機器にとって大きな脅威の一つです。
対策としては、IoT機器を初期設定のまま使わないことが重要です。特に、Telnetなど不要な通信ポートは閉じ、IDやパスワードは推測されにくい強力なものに変更する必要があります。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:IoT機器などで動作するWebサーバプログラムの脆弱性を悪用して感染を広げ,Webページを改ざんし,決められた日時に特定のIPアドレスに対してDDoS攻撃を行う。
⇒Web改ざんを行う、という点で違います。Miraiの主目的はIoT機器をボット化してDDoSに参加させることであり、Webページ改ざんが中心ではありません。
イ:Webサーバプログラムの脆弱性を悪用して企業のWebページに不正なJavaScriptを挿入し,当該Webページを閲覧した利用者を不正なWebサイトへと誘導する。
⇒不正なJavaScript挿入、という点で違います。これはWeb改ざんやドライブバイダウンロード誘導の説明です。
ウ:ファイル共有ソフトを使っているPC内でマルウェアの実行ファイルを利用者が誤って実行すると,PC内の情報をインターネット上のWebサイトにアップロードして不特定多数の人に公開する。
⇒ファイル共有ソフト経由で情報を公開する、という点で違います。これは情報漏えい型マルウェアの説明であり、Miraiの動作ではありません。