最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆詐欺メールに注意、「有料化のご連絡」「動画見放題サービスのお申込み」等で誘引(2018/05/21) | メイン | ◆Skype乗っ取りか、「URLスパム騒動」発生――うっかりクリックした場合の対処法(2018/05/25) »

2018/05/24

◆ルーターのDNS情報書き換え攻撃、標的がAndroidからiOSやPCにまで拡大(2018/05/24)

 ルーターのDNS情報を書き換えて偽サイトへと誘導し、Android用の不正なアプリをダウンロードさせようとする攻撃が、今月に入ってから対象言語や対象端末を拡大している。今月18日には、セキュリティ企業のカスペルスキーから、改めて注意喚起が出された。

 この攻撃は、インターネット回線に接続したルーターのDNS情報が、何らかの方法で攻撃者の用意したDNSサーバーの情報に書き換えられてしまうというもので、3月中旬から報告されている。

 DNS(Domain Name System)は、URLなどのホスト名(例:www.so-net.ne.jp)を実際の通信で使用するIPアドレス(例:210.132.253.161)に変換する「名前解決」などの機能を提供している。この攻撃を受けたルーターの場合は、問合せ先のDNS情報が攻撃者の用意したサーバーに書き換えられてしまい、端末からの問い合わせに対し、偽サイトのIPアドレスを通知する。その結果、正しいURLを指定したにも関わらず、偽サイトへと誘導されてしまう問題が発生する。

 国内で問題が報告されるようになった3月当初の誘導先は、Android端末をマルウェアに感染させようとする、日本語、韓国語、中国語(簡体字)、英語の4言語に対応した偽サイトだった。DNS情報を書き換えられたルーター経由でWebサイトにアクセスしようとすると偽サイトに誘導されてしまい、「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」というアラートが表示される(HTTPS接続の暗号化通信はエラーになるため接続できない)。アラートの[OK]をクリックすると、Facebookアプリに見せかけたAndroid用のマルウェア「facebook.apk」を投下し、インストールさせようとした。このアプリは、ユーザーの通信を監視し、アカウント情報などを盗み取るスパイ活動を行うマルウェアと見られている。

 5月7日ごろ、誘導先の偽サイトの対応言語が欧州や中東など27言語に拡大。その翌日には、iOS端末をアップルの偽サイトへと誘導する機能が追加された。Android端末以外でアクセスした場合には、それまでは何も表示されなかったが、iPhoneなどのiOS端末でアクセスした場合には、「App Storeアカウントは安全以上があるので、再度ログインしてください。」と表示し、「Apple Storeにサインイン」と書かれた偽のログインページへと誘導されるようになった。

 アップルの公式サイトにSafariでアクセスすると、アドレスバー(検索バー)に「Apple Inc.」と名前が表示されるのだが、この偽サイトの場合は「security.apple.com」というホスト名の表示になる。これを知っていれば簡単に偽サイトであることを見抜けるが、公式サイトが名前表示であることを知らない人や、名前を表示しないSafari以外のブラウザを使用している人は、偽物に気づかないかもしれない。騙されてログインすると、偽サイトはクレジットカード番号と有効期限、CVV(セキュリティコード)の入力を求めてくる。

 12日頃からは、パソコン向けに仮想通貨のマイニング機能が追加された。マイニングは、仮想通貨を維持していくために必要な、取引履歴の管理や承認、確認などの作業を行うこと。作業に参加した対価として、仮想通貨が得られる。PC向けには、対価が攻撃者に支払われるように設定された、マイニングを行うスクリプトが仕掛けられた。22日頃からは、それまでのフィッシングに代わり、iOS端末もマイニングを行うようになっている。

■被害にあわないための対策

 DNS情報の書き換え手口は、未だ解明されていないが、さまざまな手口を想定した対策があるので、ぜひ実施していただきたい。

・管理画面に強固なパスワードを
 ルーターの設定変更などを行う管理画面へのアクセスを防ぐために、強固なパスワードを設定する。出荷時のデフォルトのパスワードは、マニュアル等にも記載された誰でも知り得る情報であることが多いので、そのまま使用せず必ず変更する。

・不要な機能は「無効」に
 ルーターを外部から操作するリモート管理機能や、内部の機器が認証なしで操作できるUPnP(Universal Plug and Play)などの機能は、不都合がなければ無効化しておく。

・ファームウェアのアップデートを忘れずに
 ルーター内部のソフトウェア(ファームウェア)にセキュリティ上の欠陥(脆弱性)があると、行えないはずの外部からの操作などが行えてしまうことがある。こうした問題が見つかると、メーカーから修正版が提供されるので、必ずアップデートする。

■書き換えられてしまった場合の処置

 DNS情報が書き換えられてしまった場合には、DNS情報を初期化する。一般的な家庭のルーターの場合は、自動的にプロバイダのDNSを参照するよう設定される。ルーターに不正なDNS情報が設定されていたらそれを削除してルーターを再起動すれば、正しいDNS情報に初期化される。手動設定の場合は、プロバイダから提供されたDNS情報を設定する。再設定後は、再び書き換えられないよう、先に述べた基本対策を実施しておく。

(2018/05/24 ネットセキュリティニュース)

【関連URL:カスペルスキー】
・ルーターのDNS設定を改竄し悪意あるサイトへ誘導する「Roaming Mantis」、マイニングやフィッシングといった新たな機能を追加し、アジアから欧州および中東へと攻撃を拡大
https://www.kaspersky.co.jp/about/press-releases/2018_vir21052018
・Roaming Mantis続報:さらなる多言語化、フィッシング、そしてマイニング
https://blog.kaspersky.co.jp/roaming-mantis-update/20383/

投稿情報: 14:35 |

|