Facebook偽アプリをインストールさせるルーターのDNS設定改ざん攻撃を受けてみた検証結果、ラックが報告

　株式会社ラックは、ルーターのDNS設定が第三者に変更され、偽サイトへ誘導される攻撃について検証した結果を公開した。ルーターの管理画面をデフォルトパスワードのままでインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられ、その状態でウェブサイトへアクセスすると、攻撃者が用意したウェブサイトへ誘導されたという。

　ラックでは、ブルートフォース攻撃で認証を突破をしている痕跡はなかったことから、デフォルトパスワードで管理画面をインターネットに公開しているルーターを標的にした攻撃と推測している。

　この攻撃は、DNS設定が改ざんされたルーターに接続したAndroid端末において、「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」と表示され、マルウェアのインストールが促されるもの。インターネット接続ができなくなる不具合も報告されている。

　株式会社カスペルスキーでは、この攻撃を「Roaming Mantis」と命名。Android向けにFacebookアプリを模したマルウェアをインストールさせる当初の誘導先に加えて、仮想通貨採掘スクリプトを埋め込んだPC向けの偽サイト、個人情報やクレジットカード情報を窃取するiOS向けの偽サイトや、対応言語など、攻撃対象が拡大していることを指摘。また、ルーターの侵入方法については、デフォルトパスワードなどを用いた不正アクセスによるものとの見方を示していたが、今回のラックの検証でも、これが裏付けられている。

ルーターのDNS設定、2カ月間で8回改ざん

　ラックサイバーグリッド研究所チーフリサーチャーの谷口隼祐氏によれば、ロジテック製のWi-Fiルーター「LAN-W300N/R」2台を用いて今回の検証を実施。Miraiによる攻撃など、検証の対象外となる攻撃を除外するため、ルーターをインターネットに直接公開することはせず、前段のモデムでポートを転送。1台のルーターではTCPポート80番、もう1台でははTCPポート8080番で管理画面を公開して、攻撃経路を制限したとのことだ。

　この構成で4月3日～6月6日に攻撃を観測したところ、2カ月間で8回、外部よりDNS設定が改ざんされたという。また、また、LAN-W300N/Rには存在しない「dnscfg.html」や「tcpipwan.htm」へのアクセス試行も観測されたことから、複数のルーター製品の設定変更に対応したツールで攻撃している可能性を指摘している。

　今回の検証では意図的にルーターの該当ポートをインターネットへ公開しているが、ファームウェアが古いLAN-W300N/Rには、ユーザーの設定に関わらず、管理画面が公開されてしまう脆弱性が存在していることも指摘。ラックでは、ファームウェアの自動アップデート機能を備えたルーターへの交換を検討することなどを推奨している。

ロジテック「LAN-W300N/R」

バッファロー「WHR-300HP2」でもDNS設定の改ざんを確認

　一方、株式会社バッファローでは、2015年7月に製造を終了したWi-Fiルーター「WHR-300HP2」で、同様の攻撃を確認したことを公表した。DNS設定の改ざんが確認されたのは、パスワードがデフォルトのままで、ファームウェアのバージョンが「1.40」と古い環境だったという。

　WHR-300HP2は、これまでに88万台が出荷されており、対象のユーザーに向けてログインパスワードをデフォルトから変更すること、ファームウェアを最新版のバージョン「2.51」にアップデートすることを推奨している。

バッファロー「WHR-300HP2」

【記事追記 6月12日11:15】
　バッファロー製Wi-Fiルーター「WHR-300HP2」のファームウェアバージョンを追記しました。