🛡 概要
Mirai派生の新種ボットネット「ShadowV2」が、D-LinkやTP-LinkなどのIoT/ネットワーク機器に存在する既知の脆弱性を連鎖的に突き、短時間で感染拡大を試みました。Fortinet FortiGuard Labsの観測によれば、活動は10月の大規模なAWS障害と同時期に限定的に発生しましたが、因果関係は確認されていません。挙動が一時的であることから、攻撃者の試験運用・武器化検証の可能性が示唆されます。ターゲットはルータ、NAS、DVR等で、北米・南米・欧州・アフリカ・アジア・豪州に広く及び、政府、テクノロジー、製造、MSSP、通信、教育など7業種が標的化されました。
🔍 技術詳細
ShadowV2は「ShadowV2 Build v1.0.0 IoT version」と自己識別するMirai系バリアントで、構成情報(ファイルパス、User-Agent、HTTPヘッダ、Mirai系文字列)をXORで難読化します。初期侵入は公開脆弱性の悪用で、ダウンローダスクリプト(binary.sh)が 81.88.18.108 から本体を取得し実行します。観測された攻撃元の走査/侵入試行IPの一つは 198.199.72.27 でした。対応する脆弱性は少なくとも以下の8件が確認されています:DD-WRT(CVE-2009-2765)、D-Link(CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915)、DigiEver(CVE-2023-52163)、TBK(CVE-2024-3721)、TP-Link(CVE-2024-53375)。
機能面では、UDP/TCP/HTTPを用いた各種フラッドによるDDoSをサポートし、C2からのコマンドで攻撃が起動されます。収益化は未確認ですが、一般にこの種のボットネットはDDoSリソースのレンタルや恐喝に用いられます。脆弱性の状況として、CVE-2024-10914はEoLのD-Link機種に影響するコマンドインジェクションで、既に実利用が確認され、ベンダは修正提供を行わない方針です。CVE-2024-10915も影響機種について修正予定なしと確認されています。CVE-2024-53375(TP-Link)は2024年11月に詳細が公表され、ベータ版ファームウェアで修正が提供されています。CVSSスコアは製品・型番により異なり、現時点で公的に確定した数値が未公表のものも含まれます。公式アドバイザリの更新に従って評価してください。
⚠ 影響
感染端末はDDoSの踏み台となり、外部への大量フラッド送信で組織の回線帯域・アプライアンス負荷を逼迫、SLA逸脱や業務停止を招きます。ネットワーク評判の低下、上位ISPからのトラフィック制限、法的/契約上のペナルティ、監査対応コスト増も波及します。EoL機の未修正脆弱性を恒久的に内在する場合、再感染リスクが高止まり、恒常的な監視負荷や交換コストが発生します。
🛠 対策
- 脆弱機器の特定と隔離:資産台帳とパッシブスキャンでD-Link/TP-Link/DD-WRT/DigiEver/TBK該当モデルを特定し、管理VLANへ隔離。
- ファーム更新/交換:TP-LinkのCVE-2024-53375はベータFW適用を検討(検証環境での動作確認必須)。D-LinkのEoL対象(CVE-2024-10914/10915)は速やかな置換計画。
- 露出最小化:管理GUI/Telnet/SSHのWAN露出を閉塞、必要時はVPN越し限定。UPnP無効化。
- 侵入抑止:WAF/IPSで関連シグネチャを有効化。既知悪性IP 198.199.72.27 および配布元 81.88.18.108 への通信を境界で遮断(誤検知に備え監査ログ併用)。
- DDoS緩和:アウトバウンドレート制限、uRPF、フラッド検知の自動遮断、ISPのブラックホール/スクラビング連携。
- 初動対応:疑い端末は工場出荷状態化と安全なFW再適用。設定復元は感染痕跡がないことを確認後に限定。
📌 SOC視点
- ネットワーク・プロキシログ:内部IoTから 81.88.18.108 へのHTTP/HTTPS取得(binary.sh取得痕)、User-AgentやHTTPヘッダの不審固定値。
- ファイアウォール/IDS:外向きUDP/TCP/HTTPフラッドのスパイク(宛先分散、短時間多数接続、均一ペイロードサイズ)。
- 機器ログ(syslog):wget/curl/shの連続実行、未知のELFバイナリ生成・実行、永続化試行。
- 侵入試行検知:ウェブ管理インターフェースへのコマンドインジェクション/ディレクトリトラバーサル試行、送信元 198.199.72.27 を含む走査。
- メモリ/ファーム改ざん:ファイル整合性(FIM)で異常バイナリ・起動スクリプト変更を検知。EDRが非対応のIoTはNDR/NSMを優先。
📈 MITRE ATT&CK
- TA0001 Initial Access | T1190 Exploit Public-Facing Application:ルータ/NAS/DVRの公開管理面に対する既知脆弱性悪用(各CVE)。
- TA0002 Execution | T1059.004 Unix Shell:ダウンローダbinary.shによるシェル経由の取得・実行。
- TA0005 Defense Evasion | T1027 Obfuscated/Compressed Files and Information:XORで設定や文字列を難読化。
- TA0011 Command and Control | T1071.001 Web Protocols:HTTPベースでの指令受信によりDDoSを起動。
- TA0011 Command and Control | T1105 Ingress Tool Transfer:外部ホスト(81.88.18.108)からバイナリ取得。
- TA0040 Impact | T1498.001 Network Denial of Service: Direct Network Flood:UDP/TCP/HTTPフラッドの直接攻撃機能。
根拠:FortiGuard Labsの観測(配布元/走査元IP、binary.sh、XOR難読化、Mirai系DDoS機能)に基づく。
🏢 組織規模別助言
- small(〜50名):SOHOルータや民生NASのEoL混在が多い。まずは露出サービス遮断と機器交換の優先順位付け、ISPのDDoS緩和オプション活用。
- mid(50〜500名):NDR/IDSで東西/北南の可視化、脆弱性管理の定期ジョブ化(四半期)。ベータFW適用はステージング環境で検証してから本番へ。
- large(500名以上):サプライヤ管理(MSSP/拠点回線)を含む全社IoT資産DB整備、セグメント別の出口制御、DDoSスクラビング常時接続、攻撃時のBCP連携と法務/広報の即応体制。
🔎 類似事例
- Mirai/LZRD/Gafgyt/RapperBot/MoziなどのIoTボットネットによるDDoSキャンペーン(公開脆弱性連鎖・スキャナ拡散)。
- 本件で悪用されたCVE群:CVE-2009-2765、CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915、CVE-2023-52163、CVE-2024-3721、CVE-2024-53375。
🧭 次の一手
- 自社のインターネット露出IoT棚卸しとEoL洗い出し(優先交換リストを作成)。
- FW/IDSで 198.199.72.27 と 81.88.18.108 への通信監視/遮断を設定し、該当ログを即時レビュー。
- ベンダー通達とFortinet公開IoCを確認し、検知ルールを更新。
- DDoS対処ランブック(連絡網、ISP連携、遮断手順、復旧テスト)の整備・演習。
