画像: Thinkstock
2018 年 6 月 7 日更新: Cisco の Talos は、影響を受けるルータや可能性のある攻撃のより長いリストを含む、VPNFilter に関する追加の詳細を発表しました。
インターネットへのゲートウェイは、外国のハッカーがデータを盗み出すための入り口になっている可能性があります。シスコのTalosグループが、ロシアに関連する高度な「VPNFilter」マルウェアが少なくとも50万台のネットワークデバイスに感染していることを発見したことを受け、FBIは最近、家庭用および小規模オフィス用のルーターをすべて再起動するよう警告するセキュリティ通知を発表しました。
ここでは、VPNFilter と、ルーターを再起動するという FBI のガイダンスについて知っておくべきことを説明します。ルーターを再起動するだけでは、マルウェアに対する完全な保護が得られない可能性があります。
脅威とは何ですか?
すべてのインターネットおよびローカル ネットワーク トラフィックがルーターを通過するため、状況はかなり深刻になる可能性があります。
FBIは、「VPNFilterは、小規模オフィスや自宅のルーターを動作不能にする可能性があります」と警告しています。「このマルウェアは、ルーターを通過する情報を収集する可能性もあります。」
ルーターはインターネットに直接接続されることが多く、PCのウイルス対策ソフトなどのセキュリティ対策で保護されていないことが多いため、ハッカーにとって特に格好の標的となります。また、ルーターのファームウェアアップデートをインストールしていない人も少なくなく、脆弱性が露呈する可能性があります。FBIによると、VPNFilterはネットワークトラフィックを暗号化するため、検出がさらに困難になる可能性があるとのことです。
しかし、シスコが確認した最新の感染はウクライナで発生しており、司法省はVPNFilterをロシアと関係のあるスパイ集団「Sofacy Group」と関連付けた。
それはそれほど悪くないようです。
さらに事態は悪化しています。シスコのTalosは、続報で「ネットワークデバイスを通過するWebトラフィックに悪意のあるコンテンツを挿入する、新たなステージ3モジュール」を発見しました。「中間者攻撃」として知られるこの脆弱性を利用することで、攻撃者はネットワークトラフィックを傍受し、ユーザーに知られることなく悪意のあるコードを挿入することが可能になります。つまり、ハッカーは画面上で悪意のあるタスクを実行しながら、画面に表示される内容を操作できるのです。Talosのシニアテクノロジーリーダー兼グローバルアウトリーチマネージャーであるクレイグ・ウィリアムズ氏は、Ars Technicaの取材に対し、「ハッカーは銀行口座の残高を正常に見えるように改ざんしながら、同時に金銭やPGPキーなどを抜き取ることができます。デバイスに出入りするあらゆる情報を操作できるのです」と説明しています。これは当初懸念されていたよりもはるかに大きな脅威です。
影響を受けるルーターは何ですか?
ThinkstockFBIのセキュリティ通知では、すべてのルーター所有者にデバイスの再起動を推奨しています。さらに、CiscoのTalosグループは、「脅威アクターによる破壊的な行動の可能性を考慮し、この脅威の影響を受けるかどうかにかかわらず、すべてのSOHOまたはNASデバイスに対してこれらの措置を講じることを、万全の注意を払って推奨します」と述べています。
そのため、ルーターは必ず再起動してください。シマンテックは、VPNFilterの影響を受けることが確認されているルーターとNASデバイスのリストを公開しています。リストには、人気のある手頃な価格のモデルも含まれています。また、Netgear WNR1000は、特定の状況下でComcastの顧客に提供されています。
- 「リンクシスE1200」
- リンクシス E2500
- リンクシス WRVS4400N
- クラウド コア ルーター向け Mikrotik RouterOS: バージョン 1016、1036、および 1072
- ネットギア DGN2200
- ネットギア R6400
- ネットギア R7000
- ネットギア R8000
- ネットギア WNR1000
- ネットギア WNR2000
- QNAP TS251
- QNAP TS439 プロ
- QTSソフトウェアを実行している他のQNAP NASデバイス
- TP-Link R600VPN
しかし今週、シスコは、脅威はこれらのモデルにとどまらず、 ASUS、D-Link、Huawei、Ubiquiti、UPVEL、 ZTE製のより広範なルーターにも及ぶという警告を発しました。つまり、FBIとシスコの精鋭セキュリティチームは、このリストに載っていなくても、私たち全員に ルーターの再起動を推奨しているということです。
ルーターを再起動するにはどうすればいいですか?
ルーターを再起動すると、シスコが VPNFilter の「ステージ 2」および「ステージ 3」要素と呼ぶ、マルウェアの破壊的な部分が除去されます。
ルーターの再起動は簡単です。コンセントを抜いて、30秒待ってから再び差し込むだけです。これで完了です!
安全を保つために他に何かすべきことはありますか?
はい。まずは簡単な手順から始めましょう。
FBIと一部のハードウェアメーカーは、ルーターのリモート管理機能を無効にすることを推奨しています。これらの機能はほとんどの場合デフォルトでオフになっています。また、ルーターのデフォルトのログイン認証情報を変更し、他のウェブサイトやサービスで使用しているパスワードではなく、強力で固有のパスワードに置き換えることもお勧めします。まだパスワードマネージャーを使用していない場合は、PCWorldのおすすめパスワードマネージャーガイドが参考になるでしょう。
ルーターは通常、パソコンのウイルス対策ソフトでは保護されていませんが、シマンテックによると、同社のソフトウェアはVPNFilterを検出できるとのことです。パソコンにセキュリティソフトをインストールすることで、パソコンの安全性を最大限に高めることができます。このエピソードは、セキュリティソフトのインストールの重要性を改めて認識させるものです。PCWorldのWindowsパソコン向けベストウイルス対策ソフトガイドは、状況に最適なものを選ぶのに役立ちます。
さて、悪いニュースです。
ルーターを工場出荷時の状態にリセットする必要がありますか?
ThinkstockVPNFilter を非常に巧妙にしているのは、その「ステージ 1」要素です。この要素は再起動後も存続し、ハッカーと接触してマルウェアの次のステージを再インストールします。司法省は、感染した PC に VPNFilter の後のステージをインストールするためにマルウェアが使用していたドメインを押収しましたが、この脅威が排除されたわけではありません。VPNFilter はハッカーと接触するために他の手段も利用しています。
マルウェアを完全に削除する唯一の方法は、ルーターを工場出荷時の状態にリセットし、最新のファームウェアリビジョンにアップデートすることです。これにより、既知の脆弱性から保護されます。これはネットワーク設定の再設定が必要となる複雑な手順ですが、お使いのルーターがVPNFilterの脆弱性を持つデバイスのリストに含まれている場合は、この手順を実行することをお勧めします。
ルーターのリセット手順は様々ですが、通常はピンまたはペーパークリップの先端をハードウェアの小さなピンホールボタンに押し込み、イーサネット経由でデバイスをPCに接続して初期設定を完了します。Linksys、MikroTik、Netgear、QNAP、TP-Linkはいずれも、ルーターを工場出荷時の状態にリセットする方法やVPNFilterから保護する方法を説明した手順を公開しています。
事前に少し準備をしておくと、面倒な作業が軽減されます。ルーターのデフォルトの管理者ユーザー名とパスワードは変更する必要がありますが、ハードウェアをリセットする前に、既存のネットワーク名とパスワードをメモしておきましょう。ルーターを工場出荷時の状態にリセットした後、新しいネットワークを作成する際は、以前と同じWi-Fi名とパスワードを使用しても問題ありません。そうすることで、すべてのデバイスが簡単に再接続できるようになります。
