ルーターのDNS情報を書き換え偽サイトに誘導する攻撃が続く中、今度はネットワーク機器に感染するマルウェア(ウイルス)が見つかった。
シスコのセキュリティ部門タロスが5月24日に公表したこのマルウェアは、LinuxというOSをベースとしたルーターやNASなどのネットワーク機器に感染するもので、発表によれば、少なくとも54か国、50万台のデバイスが感染した可能性があるという。
感染機器には、Linksys、MikroTik、NETGEAR、TP-Link、QNAPの製品があげられており、NETGEARとTP-Linkの無線LAN(Wi-Fi)親機、およびQNAPのNAS(ネットワーク接続ストレージ)は、国内の家庭でも使われている可能性がある。他の製品での感染は確認されていないが、使用している機器に未修正の脆弱性があったり、出荷時のパスワードや弱いパスワードで外部からアクセスできたりするような場合には、同様の被害を受ける可能性があるので注意が必要だ。
今回見つかったマルウェアは、マルウェアが使用するフォルダ名から「VPNFilter」と名付けられており、パソコンやスマートフォンなどのシステムのような、3段階のモジュール構成になっているという。
第1段階のモジュールは、システムを起動するローダーに相当するもので、システムに潜伏し、感染時やシステムの再起動時に外部から本体を呼び込む。呼び込まれた本体が第2段階のモジュールで、OSに相当するマルウェアのプラットフォームとなる。第3段階のモジュールは、この上で動くアプリケーションに相当するプラグインで、通信を監視するプラグインと、外部と通信するプラグインが見つかっているという。
現時点では、感染の原因は分かっていないが、各社の発表によると既知の脆弱性攻撃か管理画面への侵入の可能性が高いようなので、ネットワーク機器全般に有効な以下の対策を実施しておくことをお勧めする。
●管理画面に強固なパスワードを
ルーター等の設定変更などを行う管理画面へのアクセスを防ぐために、強固なパスワードを設定する。出荷時のデフォルトのパスワードは、マニュアル等にも記載された誰でも知り得る情報であることが多いので、そのまま使用せず必ず変更する。
●不要な機能は「無効」に
ルーター等を外部から操作するリモート管理機能や、内部の機器が認証なしで操作できるUPnP(Universal Plug and Play)などの機能は、不都合がなければ無効化しておく。
●ファームウェアのアップデートを忘れずに
ルーター等の内部のソフトウェア(ファームウェア)にセキュリティ上の欠陥(脆弱性)があると、行えないはずの外部からの操作などが行えてしまうことがある。こうした問題が見つかると、メーカーから修正版が提供されるので、必ずアップデートする。
(2018/05/31 ネットセキュリティニュース)
【関連URL】
・新しい VPNFilter マルウェアは世界中の少なくとも 500,000 のネットワーク デバイスを標的にしている(CISCO TALOS Japan)
https://gblogs.cisco.com/jp/2018/05/talos-vpnfilter/
・ネットワーク機器を標的とするマルウェア「VPNFilter」について(JPCERT/CC)
https://www.jpcert.or.jp/newsflash/2018052401.html
・ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/17484
・新たなマルウェアVPNFilter、50万台以上のルーターに感染(マカフィー)
https://blogs.mcafee.jp/new-vpnfilter-malware-infects-routers
<製品各社>
・マルウェア「VPNFilter」に関して(TP-Link)
https://www.tp-link.com/jp/faq-2212.html
マルウェアVPNFilterへの対処について(TP-Link)
https://www.tp-link.com/jp/faq-2213.html
・VPNFilter について(ネットギア)
https://www.netgear.jp/supportInfo/NewSupportList/233.html
・Security Advisory for VPNFilter Malware[英文](QNAP)
https://www.qnap.com/ja-jp/security-advisory/nas-201805-24