ShadowV2ボットネットのみまわり伝書鳩に対する脆弱性/感染可能性について

いつも「みまわり伝書鳩」をご愛顧いただきまして誠にありがとうございます。

ShadowV2というMirai派生形のボットネットマルウェアが、
D-Link、TP-Link等のIoTデバイスを対象に既知の脆弱性を悪用して攻撃していることが確認されています。

FortinetのFortiGuard Labsによると、10月に発生した大規模なAWSの障害発生時、
ShadowV2の活動を発見しました。
このボットネットはAWSの障害発生中のみ活動していたようで、
ウイルスのテストランであった可能性が示唆されています。

また、このボットネットは既知の脆弱性を持つ IoT 機器だけでなく、
誤設定された Docker デーモン（API が外部に公開されたもの）を狙う機能も有しているとされています。

攻撃に対するSenSuシリーズの脆弱性/感染可能性

SenSuユニットが対象となる攻撃及びウイルス等の情報はありませんでした。

ShadowV2 は、CVE で公開されている既知の脆弱性を悪用し、
対象となる IoT 機器や誤設定された Docker デーモン上で任意コードの実行を試みます。
これにより、攻撃者が用意したマルウェアを機器上で動作させる足掛かりを得ようとします。

【SenSuではどうなのか】

SenSuユニットは外部からの制御で任意コードの実行はできません。
そのため、悪用コードの実行や、遠隔での指令はできません。

初期侵入に成功した後、ShadowV2 はダウンロード用スクリプト「binary.sh」を送り込み、
配布サーバから「shadow」と呼ばれるウイルス本体をダウンロード・実行させます。
これにより、ボットネットへの参加やさらなる攻撃活動を行う状態を構築します。

【SenSuではどうなのか】

SenSuユニットは、スクリプトファイルを実行する機能を持っていません。
そのため、仮に「binary.sh」等のファイルが送付されたとしても実行はできません。
また、外部からダウンロードしたアプリケーションを動作させる仕組みもないため、
ウイルス本体「shadow」を実行することも不可能です。

よって、SenSu製品においては、ShadowV2ボットによる感染は発生しないと言えます。
（任意コード実行機能なし、スクリプト実行不可、外部ダウンロードアプリケーション実行不可）