無線LAN(Wi-Fi)ルーターのDNS情報が書き換えられ、Android用の不正なアプリをダウンロードさせようとする問題が発生しているとして、国立研究開発法人情報通信研究機構(NICTER)は26日、公式ブログで注意を呼びかけた。
同ブログによると、Twitterやブログなどで今月15日ごろから、自宅のWi-FiルーターのDNS情報が書き換えられ、インターネットに接続できなかったり、不審なAndroid用アプリがダウンロードされたりするという情報が公開されている。
DNS(Domain Name System)は、インターネットで使用するドメイン名を管理するシステムのこと。Webサイトにアクセスする際には、URLのホスト名(例:www.so-net.ne.jp)をDNSサーバーに問い合わせ、接続相手のサーバーのIPアドレス(例:210.132.253.161)を取得する。実際の通信は、このIPアドレスで相手を使って行う。DNSは、インターネットの水先案内人的な重要な役割を担っており、DNSが正規のIPアドレスを返さないと、正しいURLでありながら違うサイトに接続してしまう。
■マルウェア配布用サーバーに誘導、Android用マルウェアDLへ
同ブログによると、書き換え後の悪性DNSサーバーに名前を問い合わせると、facebook.comとtwitter.comについては正規のIPアドレスを返すが、その他については、マルウェア配布用サーバーのIPアドレスを返すという。このため、書き換えられたWi-Fiルーター経由でWebサイトにアクセスしようとすると、マルウェア配布用サーバーに誘導されてしまい、「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」というアラートが表示される(HTTPS接続の暗号化通信はエラーになるため接続できない)。
アラートの[OK]をクリックすると、接続先からFacebookアプリに見せかけたAndroid用のマルウェア(facebook.apk)がダウンロードされる。誤ってインストールすると、アプリが自動的に実行され、「Googleアカウント危険、認証完了後使用してください」と表示。[確認]ボタンをクリックすると,「安全認証」と称してなぜかユーザーの氏名と生年月日の入力を求めるという。
現時点では、攻撃者の意図やDNS情報の書き換え方法は不明としているが、可能性のある書き換えの手口として、ルーターなどのネットワーク機器に感染するマルウェア「Mirai」亜種によるもの、DNS情報を書き換えるDNSチェンジャー系のマルウェアによるもの、外部からの侵入によるものなどをあげている。
■DNS情報を書き換えられないようにするための基本対策
DNS情報が勝手に書き換えられないようにするために、パソコンなどの基本的なマルウェア対策に加え、ルーター本体に関する以下のような基本対策を実施していただきたい。
・管理画面に強固なパスワードを
ルーターの設定変更などを行う管理画面には、必ず強固なパスワードを設定し、第三者や感染したマルウェアに操作されないようにする。出荷時のデフォルトのパスワードは、マニュアル等にも記載された誰でも知り得る情報であることが多いので、決してそのまま使用してはいけない。
・不要な機能は「無効」に
ルーターを外部から操作するリモート管理機能や、内部の機器が認証なしで操作できるUPnP(Universal Plug and Play)などの機能は、不都合がなければ無効化しておく。
・ファームウェアのアップデートを忘れずに
ルーター内部のソフトウェア(ファームウェア)のセキュリティ上の欠陥(脆弱性)が原因で、本来ならば不可能な外部からの操作などが行えてしまうことがある。こうした問題が見つかると、メーカーから修正版が提供されるので、必ずアップデートする。
■書き換えられてしまった場合の処置
万一DNS情報が書き換えられてしまった場合には、DNS情報を初期化する。一般的な家庭のルーターの場合は、自動的にプロバイダのDNSを参照するよう設定される。ルーターに不正なDNS情報が設定されていたらそれを削除してルーターを再起動すれば、正しいDNS情報に初期化される。再び書き換えられないよう、先に述べた基本対策も実施しておくことをお忘れなく。
(2018/03/27 ネットセキュリティニュース)
【関連URL】
・Wi-Fi ルータの DNS 情報の書換え後に発生する事象について(NICTER Blog)
http://blog.nicter.jp/reports/2018-02/router-dns-hack/