Wi-Fiルーターの脆弱性を突いて大規模サイバー攻撃用の巨大ボットネットが形成されていた

By papanooms

ドイツとアイルランドのインターネットサービスプロバイダ(ISP)であるドイツテレコムとEircomは顧客向けにWi-Fiルーターを提供していたのですが、これらが脆弱性を持っていることがセキュリティ関連企業のKaspersky Labが提供する情報セキュリティサイトのSecurelistにより指摘されました。

New wave of Mirai attacking home routers - Securelist
https://securelist.com/blog/76791/new-wave-of-mirai-attacking-home-routers/

Newly discovered router flaw being hammered by in-the-wild attacks | Ars Technica
http://arstechnica.com/security/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/

ドイツテレコムとEircomが顧客向けに提供していたWi-Fiルーターが抱える脆弱性を利用した攻撃をSecurelistが検知しました。脆弱性を持つのはZyxel製のSpeedportというルーターなどだそうです。脆弱性を持つルーターの共通点は外部の接続に対して7547番ポートを開いたままになっているという点で、これはISPが遠隔地からルーターを一括管理できるようにするために処置だそうです。その際に使用するTR-069やTR-064といったプロトコルをベースとしたコマンドを送りつけることで、アタッカーはルーターに不正にアクセス可能となるそうです。

SANS Internet Storm Centerによると、脆弱性を持つルーターは5～10分ごとの攻撃を受けているとのこと。さらにJohannes Ullrich. Dean of Researchによれば、攻撃は週末にドイツで起きた停電騒ぎの後からドイツテレコムの顧客の中で見られるようになったそうです。また、ドイツテレコムが自身のFacebook上で発表したところによると、脆弱性を抱えるルーターは90万人の顧客が使用しているとしています。なお、ドイツテレコムは早急に「ルーターの再起動」と「緊急パッチの適用」を行うように注意喚起しています。

また、11月の初め頃にはセキュリティファームのBadCyberが、今回と同じ家庭用ルーターをターゲットにポート7547とTR-064プロトコルを用いた攻撃が行われていることをレポートしていました。なお、検索エンジンのShodanによれば、ポート7547をオープンにしたままのインターネットデバイスは4100万台以上存在しており、その内の約500万台はTR-064プロトコルを利用しているとのことです。

脆弱性を抱えるルーターが攻撃を受けると、ウェブとの接点となるポート80が開き、遠隔地からデバイスを操作可能になります。そして、そこからアタッカーはルーターのパスワードを突破するそうですが、パスワードはデフォルトのまま書き換えられていなかったりあまりにも簡単すぎるものだったりするそうです。なお、アタッカーはパスワードを突破すると、ルーターを自身が作成したボットネットに属するボットに仕立て上げてしまいます。「ボットネットの一員になる」と言われるといまいちピンとこないかもしれませんが、アタッカーはこうして作成した巨大なボットネットを利用して大規模なDDoS攻撃などを仕掛けるので、自身のルーターが知らぬ間にサイバー犯罪の一翼を担っていたということになってしまうわけです。

実際、BadCyberの研究者が調査したところ、脆弱性を持つルーターの一部は毎秒1テラビットという史上空前のDDoS攻撃を生み出す元となったマルウェア「Mirai」の指揮統制サーバーとつながっていることも明らかになっています。