セキュリティリサーチャーによる脅威の報告は、その脅威が除外されたことを意味するわけではありません。むしろ、新たな脅威の登場を意味する場合が多いと言えます。
最近、筆者は、自宅のルータの DNS設定が変更されるという出来事を経験しました。この変更により、警告画面に誘導され、その内容は、かつて不正プログラム「FAKEAV」の攻撃で用いられた警告と酷似していました。自宅のインターネットルータの DNS設定は、初期設定から別の設定へ変更されていたようです。筆者が使用しているルータは、インターネット・サービス・プロバイダ(ISP)から提供されたモデムとルータの一体型です。
自宅のルータの設定が変更された可能性に気づいたことから、このルータが感染しているかを確認するための調査も行いました。HTTP を介して Webサイトを閲覧したところ、使用しているすべて端末(Windows Phoneや、iPad、ノート型PC を使用していました)において警告文が表示されました。警告文は図1 のとおりで、「PC上で 2つのウイルスが確認され、個人情報漏えいの危険性がある」と、ユーザを脅かす内容でした。
図1:変更されたルータから HTTP を介して表示された警告文(クリックすると拡大します)
さらに、ルータの DNS設定を調査して不審な点がないか確認しました。何も問題がなければ、DNS設定は図2 のような初期設定になっているはずでした。
図2:DNS の初期設定
しかし実際は、DNS設定が図3 のように変更されていました。
図3:設定が変更され、DNSサーバのプライマリIPアドレスが5[.]104[.]175[.]151に変更されている
トレンドマイクロの IPレピュテーションサービスを使用して、この新たに表示された IPアドレスを確認したところ、「不正」と判定されました。
図4:新しいIPアドレスは、トレンドマイクロのIPレピュテーションサービスで不正と判定された
DNS設定が ISP により事前に設定されているため、この点を考慮すると、DNS設定がどのようにして変更されたのかは見当がつきません。ただし、供給業者や請負業者といった取引先が標的となり、ルータ自体が変更されていた可能性は考えられます。こうした取引先が標的となるケースも知られており、この場合、どのような企業もセキュリティ上の弱点を抱えてしまうことになります。
■世界規模で増加する脆弱なルータ
今回の経験は、数カ月前や数年前に発生した他のルータ攻撃事例を思い起こさせました。例えば、2010年の段階からすでにセキュリティリサーチャーは、「DNSリバインディング」と「クロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF)」を組み合わせた手法として、家庭用ルータへの攻撃を実証していました。この攻撃が成功すると、攻撃者はルータの DNS設定が変更可能になり、このルータで接続したユーザは、フィッシング詐欺の被害に遭う危険性があります。
そして2014年には、ルータを利用した攻撃を弊社は確認しました。この事例では、Netcore製品のルータが UDPポートが開放した状態にする不具合を抱えたままで販売されていました。この不具合を利用することにより、ルータ上で任意のコードを実行することが可能となり、セキュリティ機器であるルータが攻撃されやすい状態となりました。また 2015年3月には、家庭用ルータを攻撃してネットワークを探索する不正プログラムに関するブログ記事を公開しました。
また、家庭内の IoEデバイスをネットワークレイヤで守る新しいセキュリティ技術「Trend Micro Smart Home Network」が搭載された ASUS社のルータからの情報によると、これらのタイプの攻撃は、現在も継続中であることが確認されました。例えば、ルータのファームウェアにおける重要な情報を取得される脆弱性「CVE-2015-0554」に関連した攻撃を、弊社は検知してブロックしました。これらの攻撃は、主にオーストラリア、中国、スペインで確認されています。
■家庭のネットワークの安全を保つ
ルータは、サイバー犯罪者にとって格好の攻撃対象となっています。無線ルータの設定を変更することで、サイバー犯罪者は、ユーザのオンライン活動を監視することができるからです。過去の事例から明らかですが、今後もサイバー犯罪者はさまざまな手法を駆使してルータを狙った攻撃を実行してくるでしょう。
多くの場合、初期設定のままであるルータは、セキュリティの面からもリスクが高いため、ルータへのセキュリティ対策は最優先されるべき事項です。初期設定のままでは、ルータの変更が簡単となりますが、不正なアクセスを受けやすくなります。強固なログインパスワードの使用は、ルータを潜在的な脅威から保護する対策の 1つです。
ルータのログイン認証情報を変更することは、家庭のネットワークを保護する第一歩になります。サイバー犯罪者は、ルータを利用した攻撃を仕掛ける際、多くの場合、不正プログラムやスクリプトを使用します。個人ユーザ向けのトレンドマイクロのセキュリティ対策製品やスマートフォーン用のモバイルセキュリティ製品は、不正プログラムを検知して、端末上での実行を防ぎます。リンクや Eメール、添付ファイルは、必ず再確認するなどのセキュリティ対策を心がけることも PC やネットワークの保護に役立ちます。
DNS設定の変更は、ISP側の問題の可能性もあるため、ISP への問い合わせも有効です。
参考記事:
- 「New Router Attack Displays Fake Warning Messages」
by Jaydeep Dave (Vulnerability Research)
翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)