マインクラフトのサーバーを狙ってDDoS攻撃を仕掛けるマルウェア「MCCrash」をMicrosoftが発見

世界で最も売れているゲームである「マインクラフト」では、多くのプレイヤーがサーバーを使ってマルチプレイを楽しんでいます。そんなマインクラフトのサーバーを狙って分散型サービス拒否(DDoS)攻撃を行うマルウェアが、WindowsとLinuxの両方で見つかりました。

MCCrash: Cross-platform DDoS botnet targets private Minecraft servers - Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2022/12/15/mccrash-cross-platform-ddos-botnet-targets-private-minecraft-servers/

Microsoft discovers Windows/Linux botnet used in DDoS attacks | Ars Technica
https://arstechnica.com/information-technology/2022/12/microsoft-discovers-windows-linux-botnet-used-in-ddos-attacks/

Microsoft warns of new Minecraft DDoS malware infecting Windows, Linux
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-new-minecraft-ddos-malware-infecting-windows-linux/

今回、Microsoftのセキュリティ研究者によって「MCCrash」と名付けられたこのマルウェアは、WindowsやさまざまなディストリビューションのLinuxに感染し、ボットネットを構築してDDoSを行うというもの。

感染経路は、Windows製品のライセンスを違法に取得することを目的としたクラッキングツールの「KMSAuto Lite」で、Microsoft Officeの認証を回避しようとこのソフトをインストールすると、端末がMCCrashに感染します。

以下は、クラッキングツールを介してMCCrashに感染したデバイスのIPアドレスを元に作成したマップです。感染者がロシアに集中しているのが分かります。

Windowsマシンに侵入したMCCrashは、インターネット上で他のWindowsマシンやLinuxマシン、さらにはPCに比べてセキュリティ対策が甘いことが多いIoTデバイスを狙って感染を拡大し、ボットネットを構築します。そして、マシンのリソースを浪費させることを意図した文字列をユーザー名としてマインクラフトサーバーに送信し、サーバーをクラッシュさせてしまいます。これが、MCCrashを用いたDDoS攻撃の仕組みです。

Microsoftによると、MCCrashはマインクラフト用サーバーソフトウェアのバージョン1.12.2だけを狙うようハードコードされていますが、実際にはバージョン1.7.2～1.18.2までのサーバーソフトも影響を受けてしまうとのこと。2022年にリリースされたバージョン1.19では問題が修正されていますが、古いバージョンのサーバーも多く使われているため、記事作成時点でも約半数のサーバーがMCCrashの潜在的なターゲットになっています。

バージョン1.18.2以前のサーバーの分布図は以下の通り。アメリカやドイツ、フランスのマインクラフトサーバーが主なターゲットとなっていますが、日本を始めとするアジアや中東、南米など世界各地に被害が及ぶことが示されています。

MicrosoftはMCCrashについて、「監視の目が届いていないことが多いIoTデバイスを利用する独自の機能により、影響力が大幅に高まり検知される可能性が低くなります」とコメントしました。また、Java版マインクラフトのプライベートサーバーを標的にするように設計された機能があることから、ダークネットや犯罪フォーラムでDDoSサービスを販売するために作成されたものではないかとも指摘しています。