こんにちは。ゼロゼロワンの嘉代です。

2017年にIoT機器を標的としたMiraiが姿を表し、複数の大手ウェブサイトが利用不可状態に陥りました。現在もIoT機器を狙った通称Mirai/Hajime亜種などが確認されており、IoT機器への攻撃は依然として続いています。
参考：NICTER観測統計 – 2020年4月～6月

今回はIoT検索エンジンKarmaを使って実例を元にMirai系で狙われやすいIoT機器が実際にどの程度あるのかを確認したいと思います。
KarmaではIoT機器の可視化を行っており、豊富な検索方法が利用可能です。実際に検索した結果を共有することによって、IoTセキュリティの実態について認知して頂ければ幸いです。
（※画像は7月時点のものになります。）
まずは検索方法についての解説を行います。

演算子について

Karmaでは3つを演算子を使用します。andの&、orの|、notの!です。括弧()を使用することで演算の優先順位を変更することができます。

and検索 & ex) hoge&foo
or検索 | ex) hoge|foo
not検索 ! ex) !hoge
組み合わせ ex) hoge&(foo|bar)

ポート検索による絞り込み

ポート検索は任意ポートが空いているのか検索ができます。
例えば、

port:80

というクエリであれば80番のポートが開いている機器の一覧が返ってきます。

IoT機器の場合、23番と80番のポートが開いているケースが多いです。つまり両方のポートが開放されているホストを検索してみると、IoT機器と思われるホストを簡単に見つけることが可能です。複数のポートが開いている結果がほしい時は、

port:23&80

とすることで、23番と80番どちらも開いているIPアドレスの一覧が返ってきます。このクエリですと1万件以上の結果が見つかっております。

このようにポート単体だけでは見つかりにくくても、and検索を使うことでIoT機器を簡単に見つけることができます。

23番が開いており、80番または8080番ポートが開いている結果を取得したい場合は

port:23&(80|8080)

とすることで、23番が開いており、かつ80番または8080番ポートが開いているIPアドレスの一覧が返ってきます。

IP検索による絞り込み

もし、自社（もしくは特定）のIPアドレス帯域にMirai系の攻撃（CVE-2014-8361）に使われていた52869番ポートが開いていないか調べたい時は以下のように検索します。こちらはMirai系の攻撃に使われやすいポートですが、一方であまり使われないポートでもあり容易に絞り込みが可能です。

ip:XX/Y port:52869（XX:対象のIPアドレス帯域 Y:CIDR表記、単一IPアドレスの場合はip:XX）

検索結果のうち、さらにIPアドレスごとに開いているポートを一覧表示したい時はunit検索（検索結果をIPアドレス単位でまとめる機能）を使います。

ip:XX/Y port:52869　unit:ip

上記クエリより、対象のIPアドレス帯域で52869番ポートが開いているIPアドレスの一覧が表示されます。

これにより対象のIPアドレス/アドレス帯域においてどのポートが開いているかというIPアドレス単位での具体的な情報のほか、検索に該当するIPアドレスが何件あるのか等の情報をまとめて閲覧することができます。

Mirai系マルウェアの標的となるIoT機器の検索

それでは、本題に戻りましょう。去年7月に発表された警視庁のレポートでは60001番ポートのアクセスが増加しているとのことです。実際に60001番及び23番ポートが開いているIPアドレスの件数を見てみると

port:60001&23

1万件以上のIPアドレスが該当します。警察庁のレポートによる攻撃の対象となっているIoT機器に該当しますので適切な対策が取られていない場合、Mirai系のマルウェアに感染するおそれがあると考えられます。

今回は演算子を用いたMirai系標的機器の確認方法ついて解説しました。
次回もKarmaを使ったIoT機器の確認方法を更新予定です。

Karmaにご興味をお持ちいただけた方は、トライアル版がありますので
Karma｜00One, Inc.
から是非ご連絡ください！