情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問11: マルウェア Mirai の動作はどれか。

問題本文

マルウェア Mirai の動作はどれか。

選択肢

• ア.IoT 機器などで動作する Web サーバの脆弱性を悪用して感染を広げ，Web サーバの Web ページを改ざんし，決められた日時に特定の IP アドレスに対して DDoS 攻撃を行う。
• イ.Web サーバの脆弱性を悪用して企業の Web ページに不正な JavaScript を挿入し，当該 Web ページを閲覧した利用者を不正な Web サイトへと誘導する。
• ウ.ファイル共有ソフトを使っている PC 内でマルウェアの実行ファイルを利用者が誤って実行すると，PC 内の情報をインターネット上の Web サイトにアップロードして不特定多数の人に公開する。
• エ.ランダムな IP アドレスを生成して telnet ポートにログインを試行し，工場出荷時の弱いパスワードを使っている IoT 機器などに感染を広げるとともに，C&C サーバからの指令に従って標的に対して DDoS 攻撃を行う。

正解

エ. ランダムな IP アドレスを生成して telnet ポートにログインを試行し，工場出荷時の弱いパスワードを使っている IoT 機器などに感染を広げるとともに，C&C サーバからの指令に従って標的に対して DDoS 攻撃を行う。

解説

Miraiは、初期パスワードのまま使われているIoT機器を狙うマルウェア。ランダムなIPアドレスへtelnet接続し、工場出荷時の弱いパスワード辞書でログインを試みて感染を広げ、巨大ボットネットを形成。C&Cサーバの指令で大規模DDoSを行う。エがこの動作を正しく述べておりエが正解。実務では初期パスワード変更やtelnet無効化などIoT機器の基本的なハードニングが要。

選択肢ごとの解説

• ア.Webサーバ脆弱性を突いてページ改ざんを行うのはMiraiの特徴ではなく、弱いパスワードでの感染という核心を欠き誤り。
• イ.WebページへのJavaScript挿入で利用者を誘導するのは別種の攻撃で、IoTを狙うMiraiの動作ではないので誤り。
• ウ.ファイル共有ソフト経由で情報を暴露するのは暴露ウイルスの挙動で、Miraiの動作とは異なるので誤り。
• エ.弱い初期パスワードのIoT機器にtelnetで感染を広げC&C指令でDDoSを行う点がMiraiの動作で、これが正解。