ニュース
【追記あり】バッファローのWi-Fiルーター「WSR-1166DHP」シリーズほかのボット感染が増加、NICTER解析チームが警告
2024年5月22日 12:15
※追記1、追記2もあわせてお読みください。バッファローから公開された関連情報を紹介しています。
【追記3:5月27日】
XのNICTER解析チーム公式アカウントは、5月27日19時24分のポストにて、最新の観測情報から判明した対象機種の一覧として、以下の7製品を挙げた。あわせて、混乱を避けるためとして、5月21日のポストを削除した。本記事では当該のポストの埋め込みを削除する。
- WHR-1166DHP2
- WHR-1166DHP3
- WHR-1166DHP4
- WSR-1166DHP3
- WSR-600DHP
- WEX-300HPTX/N
- WEX-733DHP2
先日ツイートしたBuffalo社製ルータのIoTボットへの感染について、最新の観測情報から判明した対象機種の一覧はこちらです。混乱を避けるため、過去の情報は削除させていただきます。影響を受ける機種に関する最新情報および対策方法は、Buffalo社の最新情報をご参照くださいますようお願いします。pic.twitter.com/tZZTO2H0aB
— NICTER 解析チーム (@nicter_jp)May 27, 2024
NICTER解析チームは、X(旧Twitter)公式アカウントの5月21日のポストにて、バッファローのWi-Fiルーターのボット感染が増加し、特に「WSR-1166DHP」シリーズの感染が目立つと警告した。
同アカウントは、国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究室解析チームの公式アカウントで、ダークウェブの観測を行うNICTER(Network Incident analysis Center for Tactical Emergency Response)を運営する。ポストによれば、ボットに感染したバッファロー製Wi-Fiルーターを50ホスト以上観測しており、感染経路は特定できていないという。
対策として、ファームウェアの最新版へのアップデートと、管理画面の公開設定の見直しを呼び掛けている。
WSR-1166DHPシリーズほかの製品は、2024年4月に脆弱性の存在が発表されており、最新版ファームウェアへのアップデートにより対策できる。管理画面の公開設定については、WSR-1166DHPの場合、管理画面の「システム設定」内に、インターネット経由で管理画面にアクセス可能にする「Internet側リモートアクセス設定」という項目があり、これを無効状態にしておくことで、攻撃者による侵入への対策を強化できると考えられる。
【追記1:5月23日】
バッファローでは5月22日に、「NICTERの投稿に関する重要なお知らせ」として、関連する情報を公開した。
本件に関し、情報公開時点で調査中であるが、次に挙げる5製品(いずれも販売終了した製品)で、Web設定画面のパスワードが工場出荷時、ないし推測されやすい文字列が設定されている場合、感染の可能性があるものと判断しているという。
- WHR-1166DHP2
- WHR-1166DHP3
- WHR-1166DHP4
- WSR-1166DHP3
- WSR-600DHP
また、「ご確認いただく設定等について」として、次のことを挙げている。
1つは、一旦設定を初期化すること。「インターネット設定等を工場出荷時のまま利用されている場合は、可能な限り設定を初期化しご利用ください」との表現がされているが、工場出荷時の状態から利用し続けている場合、意図しない設定変更が行われているおそれがあるので、一度初期化したのち、以下の対策を行ってほしい、との意図だという。
次に、パスワード(ここで指しているのは、Wi-Fi接続用のパスワードではなく、Web設定画面にログインするための管理パスワード)を推測されにくい複雑なものに変更するとともに、ファームウェアを更新すること。なお、WSR-600DHPは工場出荷時の状態でファームウェアが自動更新されるようになっているが、ほかの4製品は自動更新機能を持たないため、手動での更新が必要となる。
最後に、Web設定画面の[詳細設定]-[管理]-[システム設定]にて、「Internet側リモートアクセス設定を許可する」が無効になっていることを確認すること。なお、設定の初期化を行った場合は、この設定は無効になるため、確認の必要はないという。
【追記2:5月24日】
バッファローでは5月23日に、昨日からの続報として「NICTERの投稿に関する重要なお知らせ(5/23更新)」を更新した。
「NICTER解析チームによって発見された感染の疑いのある商品シリーズ」および「上記商品の類似設計商品シリーズ」として、次の全18製品を挙げている。先述の5月22日公開の情報と同様に、Web設定画面のパスワードが工場出荷時、ないし推測されやすい文字列が設定されている場合、感染の可能性があるものと見られる。
「NICTER解析チームによって発見された感染の疑いのある商品シリーズ」
- WHR-1166DHP2
- WHR-1166DHP3
- WHR-1166DHP4
- WSR-1166DHP3
- WSR-600DHP
- WEX-300HPTX/N
- WEX-733DHP2
「上記商品の類似設計商品シリーズ」
- WEX-1166DHP2
- WEX-1166DHPS
- WEX-300HPS/N
- WEX-733DHPS
- WEX-733DHPTX
- WEX-1166DHP
- WEX-733DHP
- WHR-1166DHP
- WHR-300HP2
- WHR-600D
- WMR-300
また、感染の対策・対処のための「ご確認いただく設定等について」として、「初期化・再設定が難しい場合は少なくとも商品の再起動(電源再投入)をお願いいたします」との内容が追記されている。
インターネットからの侵入の対策として「Internet側リモートアクセス設定を許可する」の設定を無効にするには、設定の初期化を行う、または直接設定項目を無効化する必要があるが、電源を再投入することで、一般的なIoT機器(Wi−Fiルーターを含む)をボット化させるマルウェアを機器のメモリ内から消去できるため、現状の感染をなくすことが期待できる。再度の感染を対策するには、あわせて「Internet側リモートアクセス設定を許可する」の設定を無効にした方がよい。
なお、現時点で自宅の製品が感染しているかどうかをテストするには、下記記事「家のWi-Fiルーター、何年も“置きっぱなし”にしていませんか? 年に一度は「見直し」を」でも紹介している「am I Infected?」のような診断サービスが有効だ。
