史上最大規模のDDoS攻撃を行う「Mērisボットネット」が出現

ロシアのセキュリティ企業・QratorLabsと検索大手・Yandexの共同研究で、2016年以降5年ほど収まっていた大規模DDoS攻撃を2021年になって復活させた「Mēris」というボットネットの存在が指摘されています。

Blog — Mēris botnet, climbing to the record
https://blog.qrator.net/en/meris-botnet-climbing-to-the-record_142/

QratorLabsによると、ここ5年、アプリケーション層への攻撃は世界規模では事実上発生しませんでした。しかし、ボットネットが無害になったわけではなく、5年かけてネットワーク層攻撃を学び、戻ってきたとのこと。

新種のボットネット「Mēris」が観測されるようになったのは2021年6月ごろからで、何万ものホストデバイスが確認されています。デバイスはローテーションで利用されており「全力」で一気に攻撃を行ったことがないため、全体像は不明ですが、20万台以上が組み込まれているとみられています。

一部において、このボットネットは、2016年に史上空前規模のDDoS攻撃を行った「Miraiボットネットの帰還」と表現されていますが、QratorLabsはやや否定的な見方をしています。その理由の1つとして、ボットネットを構成しているのがラトビアのネットワーク機器メーカー・Mikrotikの製品ばかりという点を挙げています。このため、ボットネットにラトビア語で「ペスト」を意味する「Mēris」の名称を与えたとのこと。

Mērisボットネットで確認されているのは、DDoS攻撃にHTTPパイプラインの技術を使用していること、DDoS攻撃そのものをRPS(秒間リクエスト数)ベースで行うこと、被害端末の5678番ポートを開放すること。

ニュースサイト・The Recordによれば、これまでのDDoS攻撃はbps(ビット毎秒)で測定される「帯域幅攻撃」で、標的に対してできるだけ多くのジャンクトラフィックを送りつけるものでした。しかし、RPS攻撃は「ボリューム攻撃」で、標的サーバーへ大量のリクエストを送りつけて処理させることでリソースを占有し、最終的にサーバーをクラッシュさせることを目的としているとのこと。2021年夏に発生したDDoS攻撃以前、RPSベースの攻撃はまれで、これほどの規模のものはみられなかったそうです。

Mikrotik製品で大規模な被害が出ているのが、どういった脆弱(ぜいじゃく)性の影響なのかまではわかっていませんが、フォーラムではルーターのOSが2017年リリースのバージョン6.40.1だと特にハッキング被害が多いことが示されています。一方で、Yandexの収集したデータでは比較的新しいバージョンでも被害に遭っていることがわかっています。

QratorLabsが示した、被害端末のルーターOSバージョン分布。最新安定版が「6.48.4」なのに対して、最多だったのが1つ前のバージョンである「6.48.3」なので、「ファームウェアが古くて脆弱性対策がなされていないから被害を受けている」というわけではないことがわかります。

QratorLabsは、Cloudflareで検出された毎秒1720万リクエストのDDoS攻撃をはじめとした、2021年初夏に複数の国で発生した大規模なDDoS攻撃をMērisボットネットによるものであると考えているとのこと。Mērisボットネットは巨大なRPSパワーにより、堅牢なインフラすらも圧倒する可能性があるそうです。

Cloudflareが毎秒1720万リクエストのDDoS攻撃を検出、世界125カ国の2万超のボットからの攻撃 - GIGAZINE

Cloudflareが検出した「毎秒1720万リクエスト」も前代未聞の規模ですが、Yandexによれば2021年9月5日に受けた攻撃は「毎秒2180万リクエスト(2180万RPS)」という、さらに大きなものだったとのこと。

Yandexへの攻撃を分析することで、攻撃元はいずれも2000番と5678番ポートが開放されていることがわかりました。このうち、5678番ポートはMikrotikが近隣探索プロトコルのためUDPで用いるものですが、被害端末ではTCPで用いられていました。

情報をもとにQratorLabsが「TCPで開放されている5678番ポート」を調べたところ、インターネット上に32万8723のアクティブなホストが存在していました。すべてが被害端末であるとは限らないものの、QratorLabsは「これがMērisボットネット全体である可能性を想定する必要があります」と記しています。

QratorLabsが示した、当該端末の分布図。色が濃い国ほど多数の該当する端末が存在します。最多はアメリカで13万9930(42.6％)、以後、中国が61994(18.9％)、ブラジルが9244(2.8％)と続き、日本にも4928(1.5％)のホストが存在しています。

QratorLabsではこの結果をMikrotikに連絡済みだとのことで、「ネットワークデバイスは常に最新のファームウェアに更新すること」を呼びかけています。