初心者向け解説：IoTを狙うマルウェアMiraiとは？

Mirai（ミライ）は、主にインターネットに接続された機器（IoTデバイス）をターゲットにするマルウェア（悪意のあるソフトウェア）の一種です。その名前は日本語の「未来」に由来すると言われています。

このマルウェアは、特にセキュリティ対策が不十分なLinuxベースのネットワークカメラ、家庭用ルーター、デジタルビデオレコーダー（DVR）などに感染を広げます。そして、感染させた大量の機器を操り、ボットネットと呼ばれる巨大なネットワークを作り上げます。

なお、トヨタ自動車が開発・販売している燃料電池自動車（FCV）にも「MIRAI」という同名の車種がありますが、本記事で解説するマルウェアとは全く関係ありません。

Miraiの主な感染手口は非常にシンプルです。

1. インターネット上で、特定のポート（主にTelnetサービスが動作するポート23や2323）が開いているIoT機器を探します。
2. 見つけた機器に対して、工場出荷時のデフォルトユーザー名とパスワード、または一般的に使われやすい簡単なパスワード（例: “admin”/”admin”, “root”/”123456″など）のリストを使ってログインを試みます（辞書攻撃）。
3. ログインに成功すると、機器にMiraiマルウェア本体をダウンロードさせ、実行します。
4. 感染した機器は、Miraiの指令サーバー（C&Cサーバー：Command and Control server）に接続し、攻撃者の指示を待つ「ボット」の一部となります。
5. さらに、感染した機器自身も、他の脆弱なIoT機器を探して感染を広げる活動を行います。

多くのユーザーがIoT機器の初期パスワードを変更しないまま使用しているため、Miraiはこの弱点を突いて急速に感染を拡大させることができました。感染した機器は再起動すると一時的にMiraiは除去されますが、パスワードが変更されていなければ、すぐに再感染してしまう可能性があります。

Miraiによって構築されたボットネットの主な目的は、DDoS攻撃（分散型サービス妨害攻撃）を実行することです。

DDoS攻撃とは、多数のコンピューター（この場合は感染したIoT機器）から特定のウェブサイトやサーバーに対して一斉に大量のアクセス要求やデータを送りつけ、標的のサービスを過負荷状態にして利用不能に追い込むサイバー攻撃です。

Miraiボットネットは、数十万台規模のボットから構成されることもあり、非常に大規模で強力なDDoS攻撃を引き起こす能力を持っています。

Miraiは、2016年に発生したいくつかの歴史的な大規模サイバー攻撃でその名を知られるようになりました。

これらの事件は、セキュリティの甘いIoT機器が、いかに深刻なサイバー攻撃の踏み台となりうるかを世界に示すことになりました。

なお、2016年後半にはMiraiのソースコードがインターネット上のフォーラムで公開されたため、その後、これを基にした亜種や類似のマルウェアが多数登場し、現在もIoT機器を狙った脅威は続いています。例えば、2019年には「Echobot」と呼ばれる亜種が確認されています。

Miraiのようなマルウェアから自身や組織のIoT機器を守るためには、基本的なセキュリティ対策が非常に重要です。

• デフォルトパスワードの変更: 購入したIoT機器の初期パスワードは、必ず複雑で推測されにくい独自のパスワードに変更しましょう。これは最も基本的な対策です。
• ファームウェアの更新: メーカーから提供されるセキュリティパッチやファームウェアのアップデートを適用し、常に最新の状態に保ちましょう。脆弱性を修正することができます。
• 不要な機能・ポートの無効化: 使用しないサービスや機能（特にTelnetやUPnPなど）は無効にし、外部からアクセスされる可能性のあるポート（特にTCP/23, TCP/2323）はファイアウォールなどで閉じましょう。
• ネットワークの分離: 可能であれば、IoT機器を普段使用するPCやスマートフォンとは別のネットワークセグメントに接続することも有効な対策です。
• セキュリティ機能の活用: ルーターによってはセキュリティ機能が搭載されているものもあります。また、ネットワーク全体の通信を監視するセキュリティソリューションの導入も検討しましょう。
• 使わない機器の電源OFF: 長期間使用しないIoT機器は電源を切っておくことも、リスクを低減する一つの方法です。