HinataBot というボットネット が登場：Mirai 由来のハッカーたちが開発

Mirai Hackers Use Golang to Create a Bigger, Badder DDoS Botnet

2023/03/21 DarkReading — HinataBot と名付けられた新しいボットネットを、Mirai 由来のハッカーたちが開発した。このボットネットは、従来のものと比べて、はるかに少ないリソースで大きなダメージを与える可能性があるという。Mirai は、世界で最も悪名高いボットネットの１つだ。2010年代半ばから流通し、ルーターやカメラなどの IoT 機器を利用して、大量のトラフィックでターゲットを攻撃し、分散型サービス拒否 (DDoS) を仕掛けてきた。最も被害の大きかった攻撃は、フランスのテクノロジー企業 OVH／リベリア政府／DNS プロバイダー Dyn などに対するものであり、Twitter／Reddit／GitHub／CNN などの Web サイトが被害を被った。

Akamai の研究者たちは、3月16日に発表したレポートの中で、HinataBot は１月中旬から開発が始まったばかりであると述べている。しかし、イニシャル・テストによると、HinataBot は従来のものと比べて桁違いにパワフルであり、3 Tbit/s 以上のトラフィック・フローに到達していたという。

HinataBot の威力

全盛期の Mirai ボットネットは、１秒間に数百 GB のトラフィックを被害者に流し、KrebsOnSecurity の Web サイトでは最大 623Gbit/s、OVH に対してはほぼ 1Tbit/s のトラフィックを流していた。その当時に OVH が述べていたように、この膨大なデータの波は、約145,000台のコンピュータが接続されたネットワークにより実現され、すべてのコンピュータが同時にシステムにリクエストを送信していたという。

Akamai の研究者たちは、HinataBot の相対的な強さを測定するために 10 秒間のテスト攻撃を実施し、「ボットネットのノード数がわずか 1,000 であっても、UDP フラッドの結果は 1 秒あたり約 336 Gbps になることが判明した」と述べている。つまり、HinataBot は１％以下のリソースで、すでに Mirai の最も悪質な攻撃に匹敵するトラフィックの生成が可能だということだ。

HinataBot が 10,000ノード (Miraiのピーク時の約6.9％) を構成すると、何ができるかとを考えてみると、結果として生じるトラフィックは最高で 3.3 Tbit/s 以上となり、Mirai 攻撃の何倍も強力なものになる。

Akamai の研究者たちはレポートの中で、「これらの推定される能力は、サーバの種類／それぞれの帯域幅／ハードウェア能力などを考慮に入れていないことは明らかだ。HinataBot の開発者たちが、このボットネットを本格的に使用する前に、その興味が他に移ることを祈っている」と警告している。

Golang がハッカーに選ばれる理由

HinataBot の改良の理由の多くは、その記述方法に起因している。このレポートの主要な執筆者である Allen West は、「マルウェアの多くは、伝統的に C++ や C言語で書かれている。たとえば、Mirai は C言語で書かれていた。しかし、彼らは、可能な限り新しい手法を試みている。Go などの新しい言語は、その効率性と文字列の格納方法が要因となり、人手による対応が難しくなっている」と説明している。Go (Golang) とは、HinataBot を支える高水準のプログラミング言語で、C言語に似ているが、より高性能なものだ。

レポートのもう一人の執筆者である Chad Seaman は、「ハッカーたちが、Golang を使うことで手に入れるものには、適切なエラー処理／メモリ管理／スレッド化が容易なワーカープール／安定したプラットフォームなどがある。Go は従来の言語よりも技術的な難易度が下がっている上に、性能が上がっている」と説明している。

これらの理由から、Go はマルウェアの開発者にとって人気の言語となっている。kmsdbot／GoTrim／GoBruteForcer などのボットネットは、その一例と言えるだろう。Seaman は、「Go は、より高性能で、一般的なものになっている」と述べている。

どの程度、HinataBot に警戒すべきか？

Seaman は、「HinataBot は恐ろしいかもしれないが、明るい側面もあるかもしれない。HinataBot は Mirai よりも単純に効率が良いというわけではなく、より少ない量で作業しているため、効率が良いに違いないのだ。ただし、HinataBot の拡散は、新しいものでもなんでもない」と述べている。

HinataBot は、セキュリティ・コミュニティで知られ、他のボットネットで利用されている脆弱性／ CVE を利用している。つまり、IoT の脆弱性が目新しく、デバイスのセキュリティが最優先事項ではなかった 2016年〜2017年ころの、Mirai が成功してきた状況と、現在は全く異なるものになっている。

Seaman は、「配信方法や感染技術に工夫を凝らさない限り、Mirai が再び出現することはないだろう。Hinata の開発者が、現時点で行っている戦術／技術／手順のもとでは、Mirai のような 7万〜10万ノードの脅威は現れないだろう」と述べている。

しかし、登場から２ヶ月しか経っていないので、まだまだ改良の余地はあるという見解もある。Seaman は、「まだ序章に過ぎないかもしれない。今のところ、斬新なことをする必要はなく、低いところにある果実を掴んでいるという状況だ」と述べている。

このボットネットが、どの程度の規模になるのか、また、時間の経過とともに、どのように変化していくのかは、まだ誰にもわからない。今のところ、私たちにわかることは、このボットネットが非常に強力なツールであり、既知のチャネルで既知の脆弱性を悪用してオペレーションを行う、ということに過ぎない。

この報告書の３人目の執筆者である Larry Cashdollar は、「トラフィックの中で、我々がすでに導入しているセキュリティ・コントロールの回避は見られない。エクスプロイトは古く、ゼロデイも存在しない。したがって、強力なパスワードポリシー／忠実なパッチ適用などの基本的なセキュリティ原則により、この種の脅威から身を守れるという認識は、現状でも変わらない。それでも十分なのだ」と指摘している。

HinataBot と Mirai を比較すると、大幅に効率が向上していることが分かります。また、Golang の利用により、マルウェアの開発効率が向上していることも分かります。しかし、「Mirai が成功したのは、デバイスのセキュリティが最優先事項ではなかった 2016年〜2017年ころ」という部分ですが、ある 2022年の IoT 調査では、脆弱性開示ポリシーを持っていた IoT ベンダーは、調査対象の 27% に過ぎないというデータもあります。したがって、あまり楽観視はできないと思ってしまいます。よろしければ、カテゴリ ICS を、ご参照ください。