ハッキングによって支配され、ハッカーの思うがままに操れるコンピューター群「botnet」は、近年のネットであらゆる悪事に使われています。しかし中には「日本製アニメの海賊版を根こそぎダウンロードする」ただそれだけのために構築された、非常にユニークなbotnetも存在しています。

IoT機器とサイバー攻撃

それまでは独立していた電気製品をインターネットに繋げ、色々な機能を付加するIoTが流行していますが、一方でこうしたIoT機器がサイバー攻撃に悪用されるのが問題ともなっています。特に家庭のIoT機器は継続的に監視されているわけでもなく、内部のソフトウェアのアップデートもきちんと行われるわけではありません。

ハッカー達はこうした脆弱なIoT機器を探し出し、侵入して、思い通りに操ることができるbotに仕立てます。こうしたbotを何千、何万台と集めたものが「botnet」です。botnetの使い道としては、例えば任意のサーバーにアクセスを集中させてダウンさせるDDoS攻撃や、仮想通貨のマイニングに用いる、大量のスパムメールを送信する踏み台に使うなどがあります。

しかし、ネットセキュリティ企業であるForcePoint社とSearch-Lab社によって2013年に発見されたbotnet「Cereals」はかなり風変わりな目的に使われていました。1万台以上のネットワークTVレコーダーからなるCerealsは、日本製アニメの海賊版をネットからダウンロードする、ただそれだけのために作られていたのです。

アニメダウンロードbotnet「Cereals」

CerealsはD-LINK社製のNASやNVR(ネットワークビデオレコーダー)をターゲットにしたbotnetで、2012年ごろから増殖を始めていたことが分かっています。D-LINK社製品の一部はショートメッセージ(SMS)を用いて外部から各種の操作ができますが、あるバージョンにおいてはこの機能に脆弱性があり特殊なSMSを送ることで任意のスクリプトを実行させることができました。

ハッカーはこれを用いて、まずNASやNVRにマルウェアをダウンロードさせ、後から侵入できるようバックドアを構築します。その後、botnetを指令・統制するC2サーバーからコマンドを送り込み、予めリスト化されたアニメの海賊版へのリンクがあるサイトに片っ端からアクセス、目的の動画ファイルやアーカイブを見つけたらダウンロードを開始させる……という仕組み。内部ソフトウェアの解析の結果、Cerealsがアニメのダウンロード以外の動作をしなかったことが明らかになっています。

ForcePoint社とSearch-Lab社の解析による「Cereals」の概要。初期には攻撃したNAS/NVRにDropboxからマルウェアをダウンロードさせていました。

「Cereals」首謀者とその終わり

Cereals活動初期の記録の解析から、持ち主はドイツのIPから通信していることが判明、マルウェアのアーカイブのメタデータに「Stefan」なる名前があったことからも、ドイツ系の何者か、ということが推測されます。

なおCerealsは現在、絶滅しかけています。脆弱性を持つNASやNVRの寿命のため、動作を停止したり買い換えられていることが原因ですが、最も大きいのは、同じくD-LINK社製品を狙ったランサムウェア「Cr1ptT0r」が流行し、ストレージのデータをすべて暗号化してCerealsを止めてしまったため。

一般的にマルウェアは自分以外のマルウェアを削除した上で脆弱性を塞ぎ、自身の邪魔をされないように作られます。しかしCerealsはそうした措置をほとんど取っておらず、これが命取りとなりました。

他人のネットと電気代を勝手に使うという悪質さはさておき、ネットワークとIoT機器にそれなりの知識を持っていて、アニメが大好きなドイツ系というのはなんとなく親近感のわく人物像。そんな人が作り上げたbotnetが、より剣呑に身代金を要求してくるランサムウェアに食われてしまった……というのは一つの時代の終わりを象徴する事件と言えるのではないでしょうか。

ハッカー達の時代、MS-DOSコンピュータ・ウィルスの挙動はこんなにもユニークだった – DNA

ソース:Botnets Targeting NAS and NVR Devices | Forcepoint