30万台以上のワイヤレスルーターがパスワードや設定を変更するハッキング攻撃を受けていることが判明

By Tod Kurt

セキュリティファームのTeam Cymruは、D-Link・マイクロネット・Tenda・TP-Linkなどが個人・小規模オフィス向けに販売している30万台以上のワイヤレスルーターがハッカーから攻撃を受けていることを明らかにしています。

TeamCymruSOHOPharming.pdf(PDF)
https://www.team-cymru.com/ReadingRoom/Whitepapers/2013/TeamCymruSOHOPharming.pdf

TeamCymruによると、ハッカーはワイヤレスルーターを乗っ取り、コンピューターのドメインネームをIPアドレスに変換するDomain Name System(DNS)サーバーに攻撃を仕掛けたとのこと。ハッカーが使用した攻撃方法はクロスサイトリクエストフォージェリ(CSRF)という、パスワードなどを含むワイヤレスルーターの設定を変更してしまうもので、攻撃を受けたワイヤレスルーターは「5.45.75.11」と「5.45.75.36」というIPアドレスを使用するようにDNS設定が変えられてしまいます。その他にも、WPA/WPA2のパスワードや設定を変更してしまう攻撃が確認されたとのことです。

By Dave Herholz

ハッキングの被害にあったワイヤレスルーターの多くはベトナム・インド・イタリア・タイなどアジアやヨーロッパ諸国で確認されました。ユーザーが攻撃を受けたルーターを利用し続けると、インターネットバンキングのパスワードが盗まれたり、悪意のあるソフトウェアをインストールさせるウェブサイトにリダイレクトされる恐れがあります。

ハッカーによる今回の大規模な攻撃は、「ハッカーがワイヤレスルーターをハッキングしてユーザーのインターネットバンキングサイトへの接続を傍受できるようにDNS設定を変更する」という2013年にポーランドで発生した件に非常に酷似している点がありますが、TeamCymruは今回の攻撃が同一のハッカーグループによって起こされたものでない、としています。

By Daniela Hartmann

攻撃受けたワイヤレスルーターのIPアドレスが「5.45.75.11」「5.45.75.36」に変更されてしまうことを受けて、TeamCymruの調査員が変更後のIPアドレスを提供している企業に連絡を試みましたが、記事執筆現在いまだに詳細な説明はされていないとのことです。

ルーターを攻撃するのに使用されている手法の中でも、CSRFは最も幅広く使われているもの。ユーザーは、ワイヤレスルーターのファームウェアが最新版に更新されているか、脆弱性が改善されているか、DNS設定が変更されていないかなどを確認したほうがよさそうです。また、ワイヤレスルーターのリモート管理機能をオフにしてしまう、もしくは、ルーターに接続できるIPアドレスを制限すると、より安全性は向上します。