世界各地で8月から9月にかけ、過去最大級のサイバー攻撃が相次いで発生した。中でも、標的に大量のトラフィックを送り付けてサービス不能状態に陥れるDDoS攻撃は、新手のボットネット「Meris」に操られた25万台のルーターから仕掛けられたという。その威力は、5年前に猛威を振るったIoTマルウェアMirai」の3倍を超えていた。

【その他の画像】

 CDN大手のCloudflare8月19日ブログで、過去最大規模のDDoS攻撃を阻止したと発表した。同社の顧客の金融機関に対して送り付けられた不正なリクエストは毎秒1720万に達し、それまでの最大だったDDoS攻撃のほぼ3倍に上った。攻撃トラフィックは、botに操られた世界125カ国のデバイス2万台以上から発生していた。

 Cloudflareはこの攻撃を自動的に検知して食い止めることができたとしているが、その数週間前には同じボットネットを使った攻撃が、同社の別の顧客に対しても仕掛けられていたという。

 続いて9月5日には、ロシアのIT大手Yandexが標的になった。対応を支援したDDoS対策企業Qrator Labsによれば、Yandexに対して送り付けられた不正なリクエストは毎秒2180万と推定される。

 同月9日にはセキュリティジャーナリストブライアン・クレブズ氏のWebサイト「KrebsOnSecurity」が大規模DDoS攻撃を受けて一時的につながりにくくなった。同サイトは2016年Miraiによる大規模DDoS攻撃で4日間にわたってダウンする被害に遭っているが、当時送り付けられた不正なリクエストが毎秒約45万だったのに対し、今回の攻撃はその4倍超にあたる毎秒200万以上のリクエストを伴ったと伝えている。

 Qratorは一連の攻撃に使われた新種のボットネットを、ラトビア語で「疫病」を意味する「Meris」と命名した。Merisは2021年6月に浮上したボットネットで、ラトビアIoT機器メーカーMikroTik製のルーターを操って、攻撃用のネットワークを構築しているという。

 悪用されたルーター脆弱性を突かれてMerisに感染したと思われる。Merisに乗っ取られたデバイスはQratorの推計で25万台に上っているが、脆弱性の詳細は分かっていない。「脆弱性は大規模攻撃の開始まで秘密にされていたか、闇市場で売り出されていたと思われる」とQratorは推測し、過去数週間の間にニュージーランドや米国、ロシアで発生した大規模攻撃も、Merisが原因だったとみている。

 Merisのようなボットネットに制御されるIoT機器の問題についてクレブズ氏は、「セキュリティを念頭に設計されておらず、デフォルトで安全ではない状態で出荷されるホワイトレーベルIoTデバイスを製造する企業の多さ」を指摘する。この種のデバイスはセキュアな製品に比べて大幅に安いという事情もあり、状況は5年前も今もほとんど変わっていないという。

 一方で、AkamaiCloudflareGoogleといったインターネットインフラ大手は大規模DDoS対策強化のために多額の資金を投じているともクレブズ氏は指摘する。実際に、CloudflareもQratorも今回の大規模攻撃を封じ込めたと強調した。ただ、Merisは今も増大を続けており、今後はパスワード総当たりのブルートフォース攻撃を通じてさらに勢力を増す可能性もあるとQratorは警告する。

 そうした攻撃に悪用されないための対策としてQratorやCloudflareは、ルーターやモデム、スマートカメラなどネットに接続されたIoTデバイスについてはデフォルトユーザー名とパスワードを変更し、常にファームウェアを最新の状態に更新するように呼び掛けている。

Qrator Labsの発表