最近、サイバーセキュリティ界隈でちょっと面白い、ていうか不気味な事件があって、ずっと追ってたんだけど。今日はその「7777ボットネット」って呼ばれてる謎の存在について、今わかってることをメモ代わりにまとめてみる。
これ、何が奇妙かって、普通のサイバー攻撃みたいに派手じゃないんだよね。すごく静かで、ゆっくりで、ほとんどのセキュリティシステムが気づかない。でも、確実に進行してる。正直、ホラー映画みたいでちょっとゾクっとする。
要するに、これって何?
一言で言うと、「超低速で企業の重役(C-Level)のアカウントを狙う、正体不明のボットネット」。週に2、3回とか、それくらいのペースでパスワードを試すから、普通のアラートには引っかからない。忘れた頃にまた試す、みたいな。で、感染したデバイスはなぜかポート7777を開けて「xlogin:」っていう謎のメッセージを返してくる。これが目印になってる。
始まりはイギリスのセキュリティ会社からの連絡
この話が表に出たきっかけは、イギリスの[Goldilock]っていう会社の研究者からの一通のメッセージだった。2023年の7月くらいかな。「うちのMicrosoft Azure環境に、なんか変なログイン試行がずっと続いてるんだけど…」って。調べてみたら、これがまた特徴的で。
- 1つのアカウントに対して、週に平均2〜3回くらいのログイン試行。たまに1週間くらいパタッと止まることもある。
- 攻撃元のIPアドレスは、ユーザーごとに全部違う。使い回しがない。
- Azureのログを見ると、全部「Microsoft Azure PowerShell」経由でアクセスしようとして、パスワード認証で失敗してる。
一番ヤバいのは、会社のSIEM(セキュリティ情報イベント管理システム)もMicrosoftのセキュリティ機能も、これを攻撃として検知できてなかったこと。だって、頻度が低すぎて「異常」だと判断されないんだもん。たまたま担当者が「あれ、うちの会社と関係ない国からログイン試みが来てるぞ?」って気づいたから発覚しただけで、普通なら見逃してたはず。
「xlogin:」を手がかりに全体像を追う
担当者が突き止めた約50個のIPアドレス。これを手がかりに、IoT機器検索エンジンの[Shodan]に放り込んでみたら、面白い共通点が見つかった。そう、全部ポート7777が開いてて、「xlogin:」って表示してる。
このパターンはかなりユニークだったから、逆に「ポート7777でxlogin:って言ってるヤツ、全員集合!」って感じでShodanで検索できた。そしたら、出るわ出るわ…。
僕がこれ書いてる時点だと4000台弱くらいに減ってるけど、ピーク時はすごかった。Shodanの履歴データを見ると、2022年の夏頃に急増して、一時期は1万6000台以上のデバイスがこのボットネットの一部になってたみたい。そこから徐々に減ってはいるんだけどね。
で、感染してるデバイスは何かというと、やっぱりというか、家庭用のIoT機器がほとんど。監視カメラとか、ルーターとか。特にブルガリアでは、ある大手プロバイダーが顧客に配布してるTP-Linkのルーター(TL-WR841N)が多く感染してたみたい。こういうの、日本でも他人事じゃないよね。[JPCERT/CC]とかも常々注意喚起してるけど、IoT機器の初期設定の甘さとか脆弱性って、こういう形で悪用される典型的な例だ。
「普通の攻撃」と何が違うのか?
このボットネットの不気味さを理解するために、よくあるブルートフォース攻撃と比較してみると分かりやすいかも。
| 比較項目 | 7777ボットネット | 典型的なブルートフォース攻撃(例: Mirai亜種) |
|---|---|---|
| 攻撃スピード | めちゃくちゃ遅い。週に数回とか。 | 超高速。1秒間に何百、何千回も試す。 |
| 検知のしやすさ | 難しい。低速すぎて「ノイズ」にしか見えない。 | 比較的簡単。異常なトラフィックですぐバレる。 |
| ターゲット | 企業の重役とか、価値の高いアカウントに絞ってる感じ。 | 手当たり次第。数撃ちゃ当たる方式。 |
| 目的(推測) | 金銭目的かな?価値の高い情報を盗むとか。 | DDoS攻撃の踏み台にしたり、スパム送ったり。 |
要するに、こいつは「隠密行動」に特化してる。普通の攻撃が「戦車で突撃」なら、7777ボットネットは「数ヶ月かけて壁に小さな穴を開けるスパイ」みたいな感じ。
感染ルーターを分解してみたけど…空振り
このボットネットの正体を突き止めるには、マルウェア本体をゲットするのが一番早い。そう考えた[Goldilock]の研究者は、すごい行動力を発揮した。Shodanのリストからイギリス国内の感染者を探し出して、連絡を取って、なんと現物を手に入れたんだ。感染したTP-Linkのルーターを。
で、会社のラボで早速分解して解析開始…ってなったんだけど、ここでまさかの事態が。
なんと、ルーターを再起動したら、開いてたはずのポート7777は閉じてて、マルウェアの痕跡が綺麗さっぱり消えてた。…マジかよ、って。
これ、なんでかって言うと、感染してたのが安価なIoT機器だったから。こういう機器って、ファームウェアを保存するストレージ(フラッシュメモリ)はすっごく小さい。4MBとか。OSとかでほとんど埋まってる。だから、攻撃で送り込まれた不正なプログラムは、ストレージじゃなくてRAM(メモリ)上で実行されることが多い。RAMってのは、電源を切ると中身が全部消える場所。つまり、ルーターを再起動した時点で、証拠はすべて消えちゃってたわけ。
ボットネットの数が徐々に減ってるのも、これが一因かもしれない。ネットの調子が悪い時とか、みんなルーターを再起動するでしょ?そのたびに「浄化」されてた、っていう皮肉な話。
犯人探しの試みも…まさかのオチ
調査は振り出しに。でも、もう一つだけ気になる点があった。ボットネットに感染した大量のIoT機器の中に、一つだけ毛色の違うIPアドレスが混じってたんだ。それは、ホスティング会社が管理するウェブサーバーだった。
そのサーバーも一時期、ポート7777で似たような反応を返してた。これはボットネットを操るC2(指令)サーバーだったんじゃないか?って、みんな色めきだった。で、そのIPアドレス[45.61.136[.]133]を過去の脅威情報レポートと照合すると…話がどんどんややこしくなる。
あるレポートでは「北朝鮮系のハッカー集団[Lazarus]に関連してる」とされ、別のセキュリティベンダーの情報では「[Scattered Spider]っていう別のグループだ」ってなってる。情報が錯綜して、もうワケがわからない。
…と、ここまでが当初の調査だったんだけど、この記事の元ネタを書いた研究者が情報を公開したら、後日談があって。そのIPアドレスの持ち主だっていう別の研究者から連絡が来たらしい。「あ、それ、僕です」と。
なんと、その人もこの7777ボットネットを調査していて、おとり(ハニーポット)としてわざと感染した機器のフリをして、ボットネットの司令を盗み見しようとしてたんだって。残念ながら、その試みはうまくいかなかったみたいだけど。というわけで、犯人特定の最大のてがかりだと思われたものは、まさかの「同業者の調査活動」だった、というオチ。完全にデッドエンド。
証拠ゼロ。なんでこの記事を書いたの?
結局、数ヶ月にわたる調査でも、マルウェアの検体は見つからず、犯人も特定できなかった。分かっているのは、価値の高い企業の、価値の高いアカウントが狙われている、ということだけ。正直、徒労感はすごい。
じゃあ、なんでこんな成果ゼロの調査記録をわざわざまとめたのか。それは、3つの目的があるから。
- この「低速ブルートフォース攻撃」っていう静かな脅威の存在を、多くの人に知ってもらうため。
- もし「うちもかも?」って思った企業がログを確認できるように、観測されたIPアドレスなどの情報(Indicators of Compromise)を共有するため。
- もっとリソースを持ってる他の研究者や組織に、この調査を引き継いでほしいから。
完璧な答えはないけど、情報を共有することで、誰かが次のピースを見つけてくれるかもしれない。サイバーセキュリティって、そういう地道な連携がめちゃくちゃ大事なんだよね。
あなたの会社のログイン画面、海外からの不審なアクセス、チェックしたことありますか? ちょっとログを見てみるだけでも、面白い発見があるかもしれませんよ。
