はじめに
2025年11月26日、新たなMiraiベースのボットネットマルウェア「ShadowV2」が、D-Link、TP-Linkを含む様々なベンダーのIoTデバイスを標的にしていることがFortinetのFortiGuard Labsの研究者によって報告されました。この活動は10月に発生した大規模なAWS障害中に確認されており、ボットネット運用者によるテスト運用であった可能性が指摘されています。
ShadowV2ボットネットの概要
「ShadowV2」と名付けられたこのマルウェアは、「ShadowV2 Build v1.0.0 IoT version」と自己識別し、Mirai LZRD亜種と類似していると研究者は述べています。これは、既知の脆弱性を悪用してIoTデバイスに感染を広げます。
悪用された脆弱性
ShadowV2は、以下の少なくとも8つの既知の脆弱性を悪用して拡散しています。特にD-Linkの一部の脆弱性は、メーカーがすでにサポート終了(EoL)を発表しており、修正パッチが提供されないことが確認されています。
- DD-WRT (CVE-2009-2765)
- D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
- DigiEver (CVE-2023-52163)
- TBK (CVE-2024-3721)
- TP-Link (CVE-2024-53375)
特にCVE-2024-10914は、すでに悪用が確認されているD-Link製EoLデバイスへのコマンドインジェクションの脆弱性です。CVE-2024-53375はベータファームウェアアップデートで修正されたと報告されています。
攻撃の発生源と影響範囲
FortiGuard Labsの研究者によると、ShadowV2による攻撃は198[.]199[.]72[.]27から発信され、ルーター、NASデバイス、DVRといった広範なIoT機器を標的にしています。影響を受けたセクターは、政府、テクノロジー、製造、マネージドセキュリティサービスプロバイダー(MSSP)、通信、教育の7分野に及びます。攻撃は北米、南米、ヨーロッパ、アフリカ、アジア、オーストラリアと、まさにグローバルな規模で観測されています。
ShadowV2の機能と拡散方法
このマルウェアは、81[.]88[.]18[.]108上のサーバーからダウンローダースクリプト(binary.sh)を介して脆弱なデバイスに配信されます。ファイルシステムパス、User-Agent文字列、HTTPヘッダー、Mirai形式の文字列にXORエンコードされた設定を使用しています。機能面では、UDP、TCP、HTTPプロトコルに対する様々な種類の分散型サービス拒否(DDoS)攻撃をサポートしており、コマンド&コントロール(C2)インフラを介して攻撃がトリガーされます。
対策と注意喚起
ボットネットの収益化戦略はまだ不明ですが、通常、サイバー犯罪者にその攻撃能力を貸し出したり、攻撃を停止させるために金銭を要求したりします。Fortinetは、この新たな脅威を特定するためのIoC(侵害の痕跡)を共有し、IoTデバイスのファームウェアを常に最新の状態に保つことの重要性について警告しています。