インターネットセキュリティ研究機関Team Cymruによると、攻撃者グループが30万台の家庭用および小規模オフィス用無線ルーターを侵害し、不正なDNSサーバーを使用するように設定を変更したという。
1月、Team Cymruの研究者は、TP-Linkの無線ルーター2台を特定しました。これらのルーターの設定は変更されており、DNS(ドメインネームシステム)リクエストが特定のIPアドレス(5.45.75.11と5.45.76.36)に送信されるようになっていました。これらのIPアドレスで稼働している不正なDNSサーバーを分析した結果、一般消費者向けネットワーク機器への大規模な侵入が明らかになりました。
Team Cymruの研究者らは月曜日に発表した報告書の中で、1週間にわたって30万件以上のIPアドレスが2つのサーバーにDNSリクエストを送信したと述べた。これらのIPアドレスの多くは、D-Link、Micronet、Tenda、TP-Linkなどのメーカーのモデルを含む、DNS設定が悪意を持って改変された様々なルーターに対応していたという。
研究者らは、これらのデバイスは複数の既知の脆弱性を悪用する様々な手法によって侵害されたと考えている。影響を受けたデバイスの多くは、管理インターフェースがインターネットからアクセス可能であったため、所有者がパスワードを変更していない場合、ブルートフォース攻撃によるパスワード推測やデフォルトの認証情報を使用した不正アクセスの被害に遭う可能性があったと研究者らは述べている。
ZynOSも脆弱
1月に報告されたZynOSのセキュリティ欠陥により、相当数のデバイスが脆弱であることが判明しました。ZynOSはZyXEL Communications社が開発したルーターファームウェアで、他社製のルーターモデルにも使用されています。この脆弱性により、攻撃者は脆弱なルーターの設定ファイルを認証なしでリモートからダウンロードし、解析することでルーターの管理インターフェースのパスワードを抽出できます。
ピクセルビートTeam Cymru の研究者によると、攻撃者はクロスサイトリクエストフォージェリ (CSRF) を使用して、昨年から知られている TP-Link ルーターの脆弱性を悪用した可能性もあるとのことです。
CSRF攻撃は、ウェブサイトに悪意のあるコードを配置し、訪問者のブラウザに細工されたリクエストをサードパーティのURLに送信させることで行われます。ユーザーがサードパーティのサイトで認証されており、そのサイトにCSRF対策が施されていない場合、悪意のあるリクエストはユーザーのサイトへのアクセスを悪用し、不正なアクションを実行する可能性があります。この種の攻撃はセッションライディングとも呼ばれます。
攻撃者は、所有者のブラウザを介してリクエストをプロキシし、認証されたセッションを活用することで、管理インターフェイスがローカル エリア ネットワークからのみアクセス可能な場合に、CSRF テクニックを使用してルーターを攻撃できます。
TP-Link ルーターをお持ちの場合は、ファームウェアを更新してください。
Team Cymruの研究者は、昨年TP-Linkの複数のルーターモデルに報告された2つの脆弱性に注目しました。これらの脆弱性はCSRF攻撃の標的となっていることが分かっています。1つは管理者パスワードを空白に置き換えることが可能で、もう1つは不正なリクエストに偽の認証情報が含まれていてもルーターのDNS設定を変更できる脆弱性です。
研究者によると、最初の脆弱性は、攻撃キャンペーンで最初に特定された被害端末の一つである、ファームウェアバージョン3.0.0ビルド120531を実行するTP-Link TD-8840Tルーターでテストされ、正常に確認された。2つ目の脆弱性は、様々なファームウェアバージョンを実行するTP-Link WR1043ND、TL-MR3020、TL-WDR3600に影響を与えると報告されているが、他のモデルも影響を受ける可能性がある。
TP-Link は影響を受けるモデルの一部に対してファームウェア パッチをリリースしましたが、ユーザーが自宅のルーターやその他のネットワーク デバイスを更新することはほとんどありません。
Team Cymruが特定した大規模な侵入は、2月初旬に報告された別の攻撃キャンペーンと類似点があります。この攻撃キャンペーンは、ポーランドの家庭用ルーターのDNS設定を変更し、オンラインバンキングセッションを傍受しようとしたものです。この攻撃もZynOSの脆弱性を悪用したと考えられていますが、Team Cymruは、この攻撃キャンペーンは彼らが特定した大規模な攻撃キャンペーンとは別のものだと考えています。
ポーランドへの攻撃では、ハッカーはさまざまな不正 DNS サーバーを使用し、地理的に集中した少数のユーザーをターゲットにし、特にポーランドの銀行サイトへの接続を傍受することに重点を置いていました。
「対照的に、デバイスをIPアドレス5.45.75.11と5.45.75.36に設定していた攻撃者は、非常に大規模なデバイスプールを侵害し、特定のISP内の大規模なデバイスブロックを制御していた。SOHO(小規模オフィス/自宅オフィス)ルーターのモデル、構成、ファームウェアバージョンの均一性により、攻撃の規模拡大が容易になった可能性が高い」とTeam Cymruの研究者は述べている。
Team Cymruが特定した攻撃キャンペーンで侵害されたルーターの大部分はベトナムに設置されており(IPアドレス約16万件)、キャンペーン全体は世界中に広がっていました。ベトナムを除くと、被害者数上位10カ国はインド、イタリア、タイ、コロンビア、ボスニア・ヘルツェゴビナ、トルコ、ウクライナ、セルビア、エクアドルでした。米国は11位でした。
「今回の攻撃の規模は、検索結果のリダイレクト、広告の置き換え、ドライブバイダウンロードのインストールといった、より伝統的な犯罪意図を示唆している。これらはすべて、収益を上げるためには大規模に実行する必要がある活動だ」と研究者らは述べている。「ポーランドで見られたような、より手作業を要する銀行口座への送金は、これほど大規模かつ地理的に分散した被害者グループに対して実行するのは困難だろう。」
研究者らはまた、攻撃者が利用していた2台のDNSサーバーがリクエストに断続的に応答していたことを観察しました。これは、被害者がインターネット接続の問題を経験した可能性が高いことを意味します。DNSは、ドメイン名を数値のIPアドレスに変換するために使用される重要なサービスです。この機能がなければ、コンピューターはドメイン名を使用してウェブサイトにアクセスできなくなります。
DNS 解決を制御することで、攻撃者は、ユーザーが正当な Web サイトにアクセスしようとしたときに、ユーザーを自分の管理下にあるサーバーに透過的にリダイレクトできます。これにより、トラフィックのスヌーピングから検索クエリの乗っ取り、エクスプロイト、広告、その他の不正なコンテンツをトラフィックに挿入するまで、さまざまな攻撃が可能になります。
家庭用ルーターは最も弱いリンクになる可能性がある
新たに報告されたこの大規模なセキュリティ侵害は、最近発覚した家庭用ルーターに対する一連の大規模攻撃の最新のものです。ポーランドでのオンラインバンキング攻撃に加え、セキュリティ研究者はLinksysルーターに感染するワームも発見しました。また、ASUSルーターに最近発見された脆弱性により、数千台ものUSB接続ハードディスクがインターネットからのリモートアクセスにさらされる事態となりました。
「ルーターへの脅威は、悪意のある攻撃者がこれらのデバイスを攻撃することでどれだけの情報が得られるかを認識するにつれて、今後も増加し続けることが当社の調査で明らかになった」と、トリップワイヤーのセキュリティ研究者クレイグ・ヤング氏は電子メールで述べた。
ヤング氏によると、Tripwire の調査チームは、Amazon.com で販売されている SOHO 向け無線ルーターのベストセラー上位 25 モデルのうち 80% にセキュリティ上の脆弱性を発見したという。
「これらの脆弱なモデルのうち、34%には公開文書化されたエクスプロイトがあり、攻撃者が高度に標的を絞った攻撃や、見つけられる限りの脆弱なシステムすべてを狙った一般的な攻撃を仕掛けることが比較的容易になる」と研究者は述べた。
ヤング氏とTeam Cymruの研究者は共に、ルーターのインターネット経由のリモート管理を無効にし、ファームウェアを最新の状態に保つようユーザーを推奨しています。リモート管理がどうしても必要な場合は、リモートアクセスを特定のIPアドレスのみに制限する措置を講じる必要があります。その他の推奨事項としては、デフォルトのパスワードを変更すること、LANのデフォルトのIPアドレス範囲を使用しないこと、ルーターのインターフェースにアクセスした後は必ずログアウトすること、ルーターのDNS設定が変更されていないことを頻繁に確認すること、オプションが利用可能な場合はSSL(Secure Sockets Layer)を使用してルーターのWebインターフェースにアクセスすることが挙げられます。
