Miraiボットネットの新種「gayfemboy」が、Four-Faith社の産業用ルーターの脆弱性を悪用した攻撃を展開している事案が発生している。
発見から現在までの経緯
2024年2月12日にQiAnXin XLabが初めて検出し、11月9日からFour-Faithルーターの脆弱性攻撃を開始。12月20日にFour-Faith社へ脆弱性が報告され、12月27日にVulnCheckが脆弱性情報を公開した。
攻撃の規模と影響
現在、約15,000台のデバイスが感染し、主に中国、アメリカ、イラン、ロシア、トルコで被害が確認されている。DDoS攻撃は中国、アメリカ、ドイツ、イギリス、シンガポールの組織を標的としている。
特徴
脆弱性CVE-2024-12856(CVSSスコア:7.2)を悪用し、Four-Faith F3x24、F3x36モデルに影響を与えている。攻撃は約100Gbpsのトラフィックを生成し、10〜30秒間継続する。現在40以上のボットネットグループを形成している。
from:Mirai Botnet Variant Exploits Four-Faith Router Vulnerability for DDoS Attacks
【編集部解説】
新たなMiraiボットネットの亜種「gayfemboy」の出現は、産業用IoTデバイスのセキュリティに関する深刻な警鐘を鳴らしています。特に注目すべきは、この攻撃が産業用ルーターを標的にしている点です。
産業用ルーターは一般消費者向け製品とは異なり、工場や重要インフラの制御システムとの接続に使用されることが多く、その影響は単なるネットワーク障害を超えて、物理的な製造プロセスにまで及ぶ可能性があります。
技術的特徴と新規性
このボットネットの特筆すべき点は、ゼロデイ脆弱性を含む複数の攻撃手法を組み合わせた高度な攻撃戦略です。従来のMirai亜種と比較して、より洗練された感染経路と持続的な攻撃能力を備えています。
短時間で100Gbpsという大規模なトラフィックを生成できる攻撃能力は、現代の企業ネットワークでさえも深刻な影響を受ける可能性があります。これは従来のDDoS対策の限界に挑戦する新たな脅威となっています。
産業への影響
特に懸念されるのは、中国製の産業用ルーターが標的となっていることです。グローバルサプライチェーンにおいて、中国製IoT機器の使用が増加している現状を考えると、この脆弱性の影響は予想以上に広範囲に及ぶ可能性があります。
製造業や重要インフラにおいて、わずか30秒のネットワーク停止でも生産ラインの停止や重要なシステムの障害につながる可能性があります。このような短時間の攻撃は検知や対応が困難で、より大きな経済的損失をもたらす可能性があります。
今後の展望と対策
このような攻撃の出現は、産業用IoTセキュリティの新時代の到来を示唆しています。特に、デフォルト認証情報の使用や適切なファームウェア更新管理の重要性が改めて浮き彫りになりました。
企業や組織は、産業用ネットワークの分離やゼロトラストアーキテクチャの導入など、より包括的なセキュリティ戦略の検討を迫られています。また、サプライチェーンセキュリティの観点から、使用する機器の選定基準の見直しも必要となってくるでしょう。
日本企業への示唆
日本の製造業において、特に中小企業ではコスト面から安価な産業用IoT機器を採用するケースが増えています。本事案は、初期投資の削減が長期的にはより大きなリスクとなり得ることを示唆しています。