ジュニパー、デフォルトの認証情報を使用してセッションスマートルーターを標的としたMirai マルウェア攻撃を警告

ジュニパー、デフォルトの認証情報を使用してセッションスマートルーターを標的としたMirai マルウェア攻撃を警告

Juniper Networks(ジュニパーネットワークス)は、デフォルトの認証情報を使用してセッションスマートルーターを標的としたMirai マルウェア攻撃を警告しました。

セッションスマートルーターを標的としたMirai マルウェア攻撃について

Juniper Networks(ジュニパーネットワークス)は、デフォルトの認証情報を使用してセッションスマートルーターを標的としたMirai マルウェア攻撃を以下のように警告しています。

2024 年 12 月 11 日水曜日、複数のお客様から、Session Smart Network (SSN) プラットフォームで不審な動作が報告されました。これらのシステムは Mirai マルウェアに感染しており、その後、ネットワークからアクセス可能な他のデバイスへの DDOS 攻撃のソースとして利用されました。影響を受けたシステムはすべて、デフォルトのパスワードを使用していました。推奨されるベスト プラクティス に従わず 、デフォルトのパスワードを使用している お客様は、デフォルトの SSR パスワードがウイルス データベースに追加されているため、侵害されているとみなされます。 

Miraiマルウェアの主な特徴

  1. デバイスの悪用: Mirai はデフォルトのログイン資格情報を使用するデバイスをスキャンします。
  2. SSH 攻撃: アクセスが成功すると、リモートでコマンドを実行し、DDoS 攻撃を含むさまざまな悪意のある活動が可能になります。

ユーザー名およびパスワードのポリシー

同社は顧客に対し、攻撃への対策として推奨されるユーザー名とパスワードのポリシーにデバイスが直ちに従うようにアドバイスした。

パスワード要件

  1. 必須構成要素
    • 大文字:最低 1 文字
    • 小文字:最低 1 文字
    • 数字:最低 1 文字
    • 特殊文字:最低 1 文字
  2. 長さの要件
    • パスワードは 9文字以上 である必要があります。
    • 最小長は設定可能(9文字以上)。
  3. 変更要件
    • パスワード変更時、少なくとも 8 つの位置 の文字を変更する必要があります。
  4. 有効期間
    • 最短有効期間:24 時間(1日)
    • 最長有効期間:60 日間
  5. 再利用制限
    • 最低 5世代 前のパスワードは再利用できません。
  6. 一時パスワード
    • システムログオン用の一時パスワードは許可され、初回使用後に永続的なパスワードへ変更が必要です。
  7. デフォルト管理者パスワード
    • 初回使用時に強力なパスワードへ変更が必要です。
  8. ログイン失敗回数の制限
    • 最大失敗回数:デフォルト 6回(設定可能)。
    • ユーザーロック時間:デフォルト 1800秒(設定可能)。

ユーザー名の要件

  1. 許容される文字
    • 大文字、小文字、数字、アンダースコア(_)、ダッシュ(-)を使用可能。
    • ドル記号($)で終わることが可能。
  2. 禁止事項
    • ダッシュ(-)を先頭に使用することは禁止。
    • 数字のみのユーザー名や、ドット(.)で始まるユーザー名は推奨されません。
  3. 長さ制限
    • 最大 32文字 まで。
  4. 許容される形式の例
    • firstname.lastname(ドット使用可能)。

Mirai ボットネットの脅威: ネットワークでの兆候と早期検知の重要性

一般的な兆候は以下です。

  1. ポートスキャンの異常
    Mirai は、以下の一般的なレイヤー4ポートを集中的にスキャンします:
  • ポート 23 (Telnet)
  • ポート 2323
  • ポート 80 (HTTP)
  • ポート 8080 (HTTP プロキシ)

観測例:
単一の送信元 IP アドレスから短時間に大量の Telnet 接続試行が記録される。

  • 頻繁なSSHログイン試行
    Mirai ボットネットによるブルートフォース攻撃の可能性を示す兆候:

 

  • 短時間での複数回のログイン失敗。
  • 標的となるポート: 22 (SSH サービス)

観測例:
システムログに「パスワード失敗」のエントリが急増する。

  • 送信トラフィックの急増
    悪意のある外部 IP への予期しない送信トラフィックが発生:

 

  • ネットワーク監視で疑わしい IP アドレスに向けてピーク時に数Mbpsに達するトラフィックが検知される。
  • デバイスの異常な挙動
    侵害された可能性のあるデバイスでは以下の兆候が確認されることがあります:

    • 頻繁な再起動。
    • 不規則な動作やネットワークからの切断。

    観測例:
    通常動作しないルータがネットワーク接続を頻繁に切断。

  • 悪意のある IP アドレスからの接続
    既知の悪意のある IP からの接続試行は、侵害の可能性を示唆します。観測例:
    脅威インテリジェンスにより、ブルートフォース攻撃を試みた IP アドレスがボットネットに関連していると確認。

Mirai ボットネット対策の推奨事項

ネットワークを安全に保つためには、以下の対策を実施することをお勧めします。

  1. 異常トラフィックの監視
    ネットワーク監視ツールを活用し、ポートスキャンや異常な送信トラフィックをリアルタイムで検知します。
  2. 強固な認証ポリシーの導入
    • SSHログインには多要素認証(MFA)を導入。
    • パスワードポリシーを強化し、ブルートフォース攻撃に耐性を持たせます。
  3. 脅威インテリジェンスの活用
    悪意のある既知のIPアドレスをブロックし、関連するアクティビティを即座に検出。
  4. デバイスの定期的な管理と更新
    • デバイスファームウェアを最新の状態に維持。
    • 異常な挙動が発生していないか定期的にチェック。
  5. 迅速な対応体制の構築
    • 異常が検知されたデバイスをネットワークから隔離。
    • フォレンジック調査を実施し、被害の拡大を防止。
TOPへ