2018年5月23日 06:00
Kaspersky Labは、ルーターのドメインネームシステム(DNS)設定を改ざんし、偽サイトなどに誘導する攻撃「Roaming Mantis」について、ルーターにデフォルトで設定されている管理者パスワードを用いたもの、あるいは変更はされたものの類推が容易なパスワードを用いた不正アクセスによるものとの見方を示した。
株式会社カスペルスキーのグローバル調査チームセキュリティリサーチャーである石丸傑氏によれば、Roaming Mantisは、韓国国内で2017年夏ごろにSNSを通じて拡散したAndroid向けマルウェアが基になっているという。後に、台湾へと拡散が広まるとともに、2017年末から2018年1月、2月にもマルウェアの検体を確認しているとのことだ。
その後、3月下旬には、ルーターのDNS設定を書き換え、Android端末にFacebookアプリを模したマルウェアをインストールさせるウェブサイトへ誘導する手口で拡散していた。このマルウェアは、バックドア機能を備えたトロイの木馬で、誘導先のウェブサイトでは、「facebook.apk」や「chrome.apk」のいずれかのインストールファイルをダウンロード、インストールさせる。
Kasperskyの調査によれば、3月の時点では、狙われていたのはAndroid環境のみだったが、4月に入り、iOS端末向けに、個人情報やクレジットカード情報を窃取するフィッシングサイト「security.apple.com」が設置され、DNSが改ざんされたルーター配下のiOS端末からは、このサイトへリダイレクトされるようになった。
さらに、PC向けにも、仮想通貨を採掘するスクリプトが埋め込まれたウェブサイトへリダイレクトされるようになり、攻撃の対象となる環境は徐々に拡大を遂げている。
その一方、攻撃対象は当初、日本を含む東アジアの4~5カ国が中心だったが、その後、マルウェアや偽サイトの多言語化も進み、現時点では欧州や中東など27の言語に対応しているという。この面からも、標的となる環境を次第に拡大させている。
こうした感染の拡大は、Android向けマルウェアが接続するC2サーバーへのアクセス先にも、数多くの国からのものが記録されていることからも明らかだという。なお、Android向けマルウェアの検知が最も多かったのは、韓国、バングラデシュ、日本とのこと。
石丸氏は、こうした動きと、ルーターのDNSに設定されるIPアドレスが現在も変更され続けている現状を背景に「各国の法執行組織によりテイクダウンの措置などが採られない限り、こうした攻撃の拡大が突然止まることは考えにくい」との見方を示している。
なお、PCやiOSの環境では、「偽サイト(のIPアドレス)に直接接続しない限りは、現時点ではDNS設定が改ざんされたルーター配下にある端末でなければ影響はない」とのこと。iOSでリダイレクトされるフィッシングサイト「security.apple.com」には、改ざんされたDNS配下でなければ接続はされないという。
一方、Android端末では、一度ルーター配下でバックドアを含むマルウェアを誤ってインストールしてしまったあとは「ルーター配下のネットワークでなくとも被害を受ける」とした。
このAndroid向けマルウェアには現在も変更が加えられ続けているとのことだが、「それは表面的なものに過ぎず、バックドアの部分やC2サーバーとの通信部分といったコアモジュールには大きな変更は見られないため、(Kasperskyの)セキュリティ対策ソフトでブロックすることは可能」とした。
PC向けの仮想通貨採掘スクリプトも、同様にセキュリティ対策ソフトでブロックできるとのことだが、iOS向けの「Kaspersky Safe Browser」は「クラウドサーバーと通信してウェブサイトへの接続をブロックするため、DNSが改ざんされた環境では正常に動作しない可能性がある」と注意を促している。
さらに石丸氏は、「この攻撃者は金銭目的のサイバー犯罪者であるとみており、中国語話者もしくは韓国語話者の関与を示す手がかりも複数発見している」と述べ、「ルーターへの攻撃や、DNSを改ざんする手法に対抗するには、より堅牢なデバイス保護とネット接続の安全性確保が不可欠」としている。