1

by Christoph Scholz

2016年9月下旬に発生した毎秒1テラビットという史上空前のDDoS攻撃は、「Anna-senpai」を名乗るユーザーが作成した「Mirai」というマルウェアがIoTデバイスに感染してボットネットを形成し行われたものでした。このボットネットに組み込まれて攻撃の「踏み台」にされたデバイスの多くで、「セキュリティがザル」としか言いようのないユーザー名とパスワードの組み合わせがハードコード(ソースコードに直接記述)されていたことがわかりました。

These 60 dumb passwords can hijack over 500,000 IoT devices into the Mirai botnet

https://www.grahamcluley.com/mirai-botnet-password/



Over 500,000 IoT Devices Vulnerable to Mirai Botnet | SecurityWeek.Com

http://www.securityweek.com/over-500000-iot-devices-vulnerable-mirai-botnet



Miraiのボットネットを形成したデバイスにはXiongMai(雄邁)という中国のメーカーのソフトウェア、およびハードウェアが多く含まれていて、そのソースコードには以下のようなユーザー名とパスワードの記載がありました。もし、手元のルーターやネットワークカメラなどのIoTデバイスのセキュリティが心配な人は、以下のユーザー名&パスワードを入力してみてください。もしもエラーが出ずに通るようなら、そのIoTデバイスは「保護されていない」状態です。

table {border-collapse: collapse;}th {border: solid 1px #666666;color: #000000;background-color: #ff9999;}td {border: solid 1px #666666;color: #000000;background-color: #ffffff;}ユーザー名パスワード666666666666888888888888admin(なし)admin1111admin1111111admin1234admin12345admin123456admin54321admin7ujMko0adminadminadminadminadmin1234adminmeinsmadminpassadminpasswordadminsmcadminadmin1passwordadministrator1234Administratoradminguest12345guestguestmotherfuckerroot(なし)root0root1111root1234root12345root123456root54321root666666root7ujMko0adminroot7ujMko0vizxvroot888888rootadminrootankorootdefaultrootdreamboxroothi3518rootikwbrootjuantechrootjvbzdrootklv123rootklv1234rootpassrootpasswordrootrealtekrootrootrootsystemrootuserrootvizxvrootxc3511rootxmhdipcrootzlxx.rootZte521serviceservicesupervisorsupervisorsupportsupporttechtechubntubntuseruser

組み合わせの中には、ユーザー名とパスワードが同じものが11、パスワードなしが2つ含まれていて、セキュリティの点ではお話にならないレベル。

さらなる問題は、これらのIoTデバイスが簡単にリモートアクセスが行えるような設定がデフォルトになっていることと、この種の設定までファームウェア中に直接記述されていて、オフにするオプションが存在しないということです。

セキュリティニュースサイトのGraham Cluleyは「安価なIoTデバイスの需要があることで、いろいろ切り詰めて『幸福』になるメーカーがいて、ネットコミュニティの危険性が高まる」と、諦めたようなコメントをしています。