Tag Archives: W32.Waledac

エンターテインメントシステムなどの多数の家庭用デバイスや、さらには冷蔵庫までがスパムを送信していたという、Proofpoint 社による調査に基づいた報道をご覧になった方もいるでしょう。こうしたネットワーク対応デバイスの集まりは、「モノのインターネット（IoT）」と呼ばれています。もともと、この調査レポートには証拠が伴っていなかったため、シマンテックはその内容を裏付けることができませんでしたが、新たな詳細情報が公開されたことにより、最近のスパム攻撃が、冷蔵庫などの IoT デバイスから送信されたものではないことを確認できました。

シマンテックは、一般に公開された情報から、今回のスパムが Windows コンピュータの感染に起因する典型的なボットネットによって送信されていることを突き止めました。シマンテックは、エンドポイントセキュリティ製品、スパムを受信するハニーポット、スパム始動コマンドを待ち受けるボットネットハニーポットなど、多様なソースから遠隔測定データを受信しています。そうしたすべてのソースからスパムを追跡したところ、複数の Windows コンピュータに辿り着きましたが、その一部は W32.Waledac（Kelihos）に感染していました。このスパムが Windows 以外のコンピュータシステムから発信された例は今までになく、使途不明の大量スパムが他のソースから発信されていることも確認されていません。

今回の冷蔵庫は無実でしたが、IoT デバイスからのスパム送信がありえないというわけではありません。シマンテックは最近、IoT に対する初めての脅威である Linux.Darlloz を発見しました。Linux.Darlloz は、ルーター、カメラ、エンターテインメントシステムといった Linux ベースの IoT デバイスに感染します。Darlloz で注目すべき点は、IoT デバイスに感染するだけでなく、Linux.Aidra という別の脅威との間でワーム戦争を巻き起こしていることです。Darlloz は、デバイスが Aidra に感染しているかどうかを確認し、感染している場合にはそのデバイスから Aidra を削除します。

これは、ワーム作成者が IoT という縄張りを争っていることが確認された初めての例であり、2004 年のワーム戦争を連想させます。対象となるデバイスの処理能力もメモリも限られていることを考えると、同様の縄張り争いは今後も起きると予想されます。

IoT デバイスを狙うマルウェアはまだ生まれたばかりですが、IoT デバイスはさまざまなセキュリティ問題に影響されやすいという性質を持っています。したがって、近い将来に冷蔵庫が本当にスパムを送信し始めたとしても、驚くほどのことではありません。PC の場合と同様に、IoT デバイス上のソフトウェアも最新の状態に保ち、ルーターの内側にデバイスを置いて、デフォルトのパスワードはすべて安全性の高いパスワードに変更してください。

ところで、冷蔵庫が悪質化してスパムの送信を始めたという誤った結論はどこから導き出されたのでしょうか。

あいにく、インターネット上の実際の物理デバイスについて製造元やモデルを特定することは容易ではありません。多くの家庭用デバイスはホームルーターの内側に置かれており、ネットワークアドレス変換（NAT）を利用しています。外部から見ると、ルーターの内側に置かれているデバイスはすべて同じ IP アドレスを共有しているため、ネットワークトラフィックの本来のソースが、ルーターの内側に置かれているデバイスなのか、またはルーター自体なのかを判断するのは困難です。しかも、ルーターで開いているポートを調べる場合、ルーターがポート転送を採用していると、ルーターの内側に置かれている 1 つ以上のデバイスが公開されることがあります。たとえば、外出中にテレビ番組を録画できるようにインターネットを介してデジタルビデオレコーダーにアクセスする用途など、家庭用デバイスへのリモートアクセスが可能なようにルーター上でポート転送が有効になっている場合があります。その場合、ルーターが存在していることさえ気付かず、公開されたデバイスだけがその IP アドレスを使っている唯一のデバイスだと思い込んでしまう恐れがあります。

図. 見た目と実際は同じではない

今回の場合、マルウェアに感染したコンピュータは、エンターテインメントシステムや冷蔵庫のような他の家庭用デバイスと同様、ホームルーターの内側に置かれていました。感染したコンピュータがボットコントローラから新しいスパムテンプレートを受け取ると、スパムはルーターを通過し、特定の IP アドレスから送られたように見えます。その IP アドレスを調べると、感染したコンピュータには到達せず、ルーターに辿り着きます。

また、冷蔵庫がポート転送という機能を使っていて、誰かがポート 80 で IP アドレスに接続する場合、そのトラフィックはスマート冷蔵庫に到達できることになります。外部から見ると、目に見えているのは冷蔵庫だけで、そこにルーターが存在していることや、感染したコンピュータなどその他の多くのデバイスがルーターの内側に存在する可能性に気付かないかもしれません。こうした誤解こそ、冷蔵庫がスパムを送信していたと報告された理由なのです。事実としては、冷蔵庫が、感染したコンピュータとたまたま同じネットワーク上にあったに過ぎません。

今回どのような経緯で誤解が生じたかを検証するために、シマンテックは Waledac に感染したコンピュータのパブリック IP アドレスを調べました。予想どおり、検証で何度も最終的にエンターテインメントシステムやその他の家庭用デバイスに到達しましたが、それらはたまたまルーターを介して公開され、Waledac に感染したコンピュータと同じネットワークを共有していただけでした。

今回 IoT デバイスの罪は晴れましたが、将来的にはスパム送信の元凶となる恐れがあると思われます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

You may have seen media reports based on research by Proofpoint that hundreds of home devices such as entertainment systems and even a refrigerator had been sending spam. We refer to this collection of networked devices as the Internet of Things (IoT). Originally, the reports didn’t provide any evidence so we were unable to validate the claim. However, additional details have now been made available and we can confirm that your IoT devices, including your refrigerator, are not the source of this recent spam run.

From the information that was publicly provided, we have been able to determine that this specific spam run is being sent by a typical botnet resulting from a Windows computer infection. Symantec receives telemetry from a wide variety of sources including our endpoint security products, spam receiving honeypots, and botnet honeypots that await spam-initiating commands. All of these sources traced the spam to multiple Windows computers, some of which were verified to be infected with W32.Waledac (Kelihos). We have not seen this spam originate from any non-Windows computer systems and do not see any unaccounted volume of spam that may originate from other sources.

Even though the refrigerator was innocent, having IoT devices send spam isn’t impossible. Recently, we uncovered one of the first and most interesting IoT threats, Linux.Darlloz, which infects Linux-based IoT devices such as routers, cameras, and entertainment systems. Beyond its ability to infect IoT devices, what makes Darlloz interesting is that it is involved in a worm war with another threat known as Linux.Aidra. Darlloz checks if a device is infected with Aidra and if found, removes it from the device.

This is the first time we’ve seen worm writers fight an IoT turf war and is reminiscent of the 2004 worm wars. Considering these devices have limited processing power and memory, we’d expect to see similar turf battles in the future.

While malware for IoT devices is still in its infancy, IoT devices are susceptible to a wide range of security concerns. So don’t be surprised if, in the near future, your refrigerator actually does start sending spam. As with any computer system, keep the software on IoT devices up-to-date, place them securely behind a router, and change all default passwords to something more secure.

So, how did others incorrectly come to the conclusion that our refrigerators had gone rogue and started to send spam?

Unfortunately, confirming the make and model of an actual physical device on the Internet isn’t that easy. Many home devices sit behind a home router and use Network Address Translation (NAT). From the view point of an outsider, all the devices behind that router share the same IP address. This makes it difficult to determine whether a device behind the router or the router itself was the original source of the network traffic. Furthermore, if you probe the router for open ports the router may employ port forwarding, exposing one or more devices behind the router. You could be fooled into not even realizing a router is there and think that the exposed device is the sole device using that IP address.

Figure. What you see is not what you have

In this particular case, you have computers infected with malware sitting behind a home router along with a variety of other home devices, like an entertainment system or even a refrigerator. When the infected computer receives a new spam template from the bot controller, the spam will travel through the router and appear from a particular IP address. If you probe that IP address, instead of reaching the infected computer you will reach the router.

In addition, if your refrigerator uses a feature known as port forwarding and someone contacts the IP address on port 80, that traffic is allowed to reach your smart refrigerator. Viewed from outside, all you will see is the refrigerator and you may not even realize there is a router with potentially many other devices behind it, such as an infected computer. This misunderstanding was what led to reports of refrigerators sending spam. The truth is that those refrigerators just happened to be on the same network as an infected computer.

To validate how someone might be misled, we probed the public IP address of a Waledac infected computer. As expected, in many cases we ended up reaching entertainment systems and other home devices that happened to be exposed through the router and were just sharing the same network as a Waledac-infected computer.

So while IoT devices weren’t to blame this time, we expect they probably will be to blame in the future.