1万台ものルーターを何者かが勝手にハックしてセキュリティを高めていたことが発覚

2015年4月、Linux.Wifatchに関するさらなる情報を得たSymantecは、マルウェアがデバイスに及ぼすを影響を調査しました。当初の調査において、Linux.Wifatchは特に何の変哲もないコードのように見えていましたが、調査を進めていくうちにLinux.Wifatchは他のマルウェアのコードよりも精巧に作られていることが分かってきます。そしてコードの分析を行った結果、Linux.WifatchはPerl言語で書かれており、いったん感染するとデバイスがP2Pネットワークに接続してインターネット上の脅威に対抗するためのアップデートを受け続けることが判明しました。

「Linux.Wifatchについて調査を進めていけばいくほど『このコードは何かが違う』という思いが強くなっていった」と語るSymantec。コードを見ていると、Linux.Wifatchの作者はマルウェアに感染したデバイスを悪用するというよりは、よりセキュリティを高めているように見えたためです。その後、数カ月にわたってLinux.WifatchのP2Pの動きを監視したSymantecですが、やはり悪意のある動きは見当たらなかったとのこと。

専門的な知識を持つ人は別として、一般的なルーターやIoTデバイスのユーザーは、自身の使用するデバイスがマルウェアに感染していることになかなか気づかないもの。Linux.Wifatchはそんなユーザーのデバイスに対し、外部からのアクセスを回避させるだけではなく、ユーザーに「パスワードを変更してください」「ファームウェアをアップデートしてください」というメッセージを表示していました。また、デバイスに影響を及ぼしているマルウェアを無効にしようと取り組むモジュールも埋め込まれていたとのこと。

フリーソフトウェア活動家のリチャード・ストールマンは自身が送るメールの末尾に「私のメールを読むNSAとFBIの職員へ。米国憲法を内外の敵から守るために、スノーデンの事例から学んでください」という署名を入れていましたが、Linux.Wifatchのコードの中にもこのメッセージに似たコメントが付け加えられていたそうです。さらに、作者にとってコードを複雑にすることは容易だったはずですが、Linux.Wifatchはあえて解析しやすいようにシンプルに書かれており、他人がコードに疑いの目を向けることを恐れていません。

なお、Symantecが調べた、Linux.Wifatchに感染したデバイスが発見された国の割合は以下の通り。最も多いのは中国で、その後にブラジル、メキシコ、インドが続いています。

最も感染が多かったアーキテクチャはARMで、85％と圧倒的です。

もしかすると隠れた意図があるのかもしれませんが、Symantecが調べた内容からは、Linux.Wifatchはまるでアメリカンコミックのスーパーヒーローのように、IoTデバイスのユーザーの安全を守っているようにも見えます。

しかし、上記のような働きが認められているにしても、Linux.Wifatchがユーザーの許可なくデバイスに影響を及ぼすマルウェアであることは事実です。P2Pネットワークを他者にのっとられないようにすることが目的だと見られていますが、バックドアも発見されています。Symantecは「今後も何か動きがあれば気づけるように、Linux.Wifatchと作者の動向を見張っていく」としています。