ルーターなどに感染しSNS上で暗躍するボットを量産する恐怖のマルウェアが発見される

By LoKan Sardari

セキュリティソフトウェアの開発・販売を行う「ESET」の研究者が公開した調査結果から、ルーターに感染してSNS上で不正行為を働く最新のワーム(自身を複製して他のシステムに拡散する性質を持つマルウェア)の存在を発見しました。問題となっているワームは「Moose」と呼ばれるもので、これがどのようなものなのかをESETにより運営されているセキュリティ関連情報サイト「We Live Security」が明かしています。

Moose - the router worm with an appetite for social networks
http://www.welivesecurity.com/2015/05/26/moose-router-worm/

ESETの研究者であるオリヴィエ・ビロドウ氏とトーマス・デュパイ氏が、「ルーターに感染してインターネットの接続経路を乗っ取り、SNS上にアカウントを作成して、『いいね』の数やムービーの再生回数を増やしたり、特定のアカウントをフォローしたりする」という新種のワームを発見しました。

これはLinuxベースのルーターや端末に感染するマルウェアで、「Moose」と呼ばれています。Mooseはターゲットのルーターが既に何かしらのマルウェアに感染してリソース的に感染不可能な状態になっている場合、競合するマルウェアを削除することが可能で、他にも感染可能なルーターを自動で探すこともできるという、恐るべきものになっています。加えて、Mooseはルーターや何かしらのデジタル端末に感染する場合、端末の持つ脆弱性などを使うわけではなく、単純にログイン認証情報を突破して感染するそうです。

ルーターが感染源となるため、このMooseはルーター以外の端末にも偶発的に巻き添え被害を及ぼす可能性があります。これについてESETの研究チームは、「Hospiraの医療用具でさえMooseに感染する可能性がある」と述べており、その感染経路の広さは脅威的。

しかし、あくまでMooseの主要なターゲットとなるのはルーターで、特にActiontec・HIKVISION・NETGEAR・Synology・TP-LINK・ZyXEL・Zhoneといったメーカー製のルーターは、既に脆弱性が確認されており注意を払う必要がある、とのこと。

By Chiliem Le

Mooseを調査していたESETの研究チームは「ワームが自動でInstagramのようなSNSにアクセスしてアカウントを作成し、他のユーザーをフォローし始めました」と言います。そして多くの場合、SNS側が「怪しい行動」と判断しない程度のスピードでフォローを続け、「いいね」の数やムービーの再生回数を増やし続けるそうです。

SNSユーザーや企業アカウントの中には、TwitterやInstagramでフォロワーを増やしたり、Facebookで「いいね」を増やしたりするために、専門のサービスを利用するものもあります。そういったサービスがどのようにしてフォロワーや「いいね」の数を増やしているのかは定かではありませんが、知らぬ間にMooseのようなマルウェアの力を借りて、SNS上の数値を不正に水増ししていても不思議はない、とWe Live Securityは記述しています。

また、研究チームはこういったSNS上での不正行為以外にもMooseが使用されている可能性がある、と分析しています。例えば、DDoS攻撃のターゲットとなるネットワークの探索や、DNSの乗っ取りなどにもMooseは活用可能であるとのこと。

By Simo Tata

なお、Mooseを回避するための方法としては、ルーターに最新のセキュリティパッチをあて、インターネットに接続する端末のパスワードにはデフォルトや簡単に解読可能なものを使用しないこと、が挙げられています。