ブログトップ記事一覧ログイン無料ブログ開設

piyolog

2018-03-28

ルーターの設定情報改ざんについてまとめてみた

インシデントまとめ | 01:14 |

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。

ここでは関連情報をまとめます。

確認されている被害事象

(1) ルーターの設定情報が改ざんされる

ルーター内部に設定されたDNS情報が改ざんされる。
DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。

(2) マルウェア配布サイトへ誘導される

改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。
一部サイト（Twitter,Facebookなど）は正規のIPアドレスが返されサイトへ接続できる。
誘導先の配布サイトでは次のメッセージが表示される。

Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。

メッセージ表示後、OKをクリックすると「facebook.apk」というファイル名のマルウェアがダウンロードされる。
メッセージの種類は4か国語（日本語、英語、中国語、韓国語）が確認されている。接続された環境に応じて表示が変わる。
マルウェアはダウンロード後に自動的にインストールされるものではない。
APKファイルを誤ってインストールした場合、マルウェアが自動的に実行されGoogleに関連するアカウント情報が窃取される等の恐れがある。
APKファイルの解析はNICTが公開した解析記事が詳しい。（現在も詳細調査中。）
- 2018年3月26日 Wi-Fi ルータの DNS 情報の書換え後に発生する事象について（NICT）

確認されているFacebook.apkのサンプルは次のもの。

改ざん被害が報告されているルーター

被害報告上がっているのは特定の一機種ではなく、複数機種。
現時点で名前が挙げられているのはLogitec、Buffalo、NTT東日本、NTT西日本のルーター。

Logitecのルーター対象機種（報告が上がっているもの）

LAN-W300N *1

TwitterではLogitecへ問い合わせした結果、2017年末のルーターの脆弱性が悪用された恐れがあるとの投稿がある。*2
- ロジテック製300Mbps無線LANブロードバンドルータおよびセットモデル（全11モデル）に関する重要なお知らせとお願い

Buffaloのルーター対象機種（報告が上がっているもの）

WHR-1166DHP4 *3

NTT東日本・NTT西日本のルーター対象機種

2社が出荷した2シリーズ（OG410,OG810）は合計約26万5千台。
3月27日以降にNTT東日本へ問い合わせがあったのは24件。

改ざんされる原因

第三者が設定情報を改ざんする方法は3月28日時点で断定されていない。
NTT東日本・西日本は次の条件に合致する場合に改ざん被害を受ける恐れがあると情報公開している。

(1)本機器をインターネット接続用途で利用している場合。

(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。

(3)機器設定用ログインパスワードを初期値より変更していない場合。

改ざん被害を受けた場合

ルーターの設定情報の内、DNSが正規の設定となっているか確認する。
メーカーやサポートへ対応方法を相談する。

報告事例・報道など（関連が疑われるもの含む）

韓国

日本

更新履歴

2018年3月29日 AM 新規作成

*1：https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11187751811

*2：https://twitter.com/mikenekoyuzu/status/976593490489430017

*3：http://blog.maxx.co.jp/?eid=362