トレンドマイクロでは常に現在の脅威に対する監視と調査を続けています。この活動の中で2021年初頭から既知のマルウェアファミリによるIoT機器への感染事例について再調査したところ、これまでに報告されたIoTマルウェアの中でも最も大きなファミリの一つであり、2018年に猛威を振るったIoTボット「VPNFilter」が感染している事例を複数発見しました。ただしこのVPNFilterに関しては2018年5月にFBIが中心となって遠隔操作サーバ(C&Cサーバ)をテイクダウンしたことが発表されており、一般には既に危険な存在ではないものと考えられています。なぜ、そのVPNFilterが2021年の現在も生き残っているのでしょうか?本記事では調査の詳細と得られた知見について解説します。
-1024x559.png)
本ブログで 2018 年 5 月末に報告したように、IoT ボット「VPNFilter」は、少なくとも 54 カ国にわたる 50 万台のネットワークデバイスに感染したと言われています。トレンドマイクロは、多段階の攻撃における各マルウェアを、「ELF_VPNFILT.A」、「ELF_VPNFILT.B」、「ELF_VPNFILT.C」、「ELF_VPNFILT.D」として検出対応しています。2018 年 5 月の時点で、VPNFilter は、「Linksys」、「MikroTik」、「Netgear」、そして「TP-Link」製のネットワークデバイスおよび「QNAP」製の「Network Attached Storage(NAS)」を対象に、Web サイトの認証情報の窃取、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)プロトコル」の傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えていました。
続きを読むセキュリティリサーチャの報告によると、少なくとも世界 54 カ国で 50 万台以上の家庭用または小規模オフィス用ルータが「VPNFilter」と名付けられたマルウェアに感染しました。VPNFilter は、感染機器の管理、ファイルや認証情報の収集、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)」プロトコルの傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えています。この kill コマンドは、個別の機器で実行することも、複数の機器でまとめて実行することも可能です。VPNFilter の活動は 2016 年から確認されていましたが、2018 年 5 月上旬にウクライナを中心として大量の感染が確認されたことを受け、その危険度の高さからリサーチャがレポートの公開に踏み切りました。
続きを読む
