世界54カ国で50万台以上のネットワーク機器に感染するマルウェア「VPNFilter」、作成には国家が関与している疑い

シスコのセキュリティ部門であるTalosが、世界54カ国で50万台以上のルーターやNASが「VPNFilter」と呼ばれるマルウェアに感染していることを報告しました。このマルウェアは「情報収集」「通信の妨害」「サイバー攻撃」などの高度な機能を持ち合わせており、マルウェアの作成に国家が関与している可能性が指摘されています。

Cisco's Talos Intelligence Group Blog: New VPNFilter malware targets at least 500K networking devices worldwide
https://blog.talosintelligence.com/2018/05/VPNFilter.html

VPNFilterは、Linksys、MikroTik、NETGEAR、TP-Linkなど、Linuxベースのファームウェアを搭載する小規模オフィス向けのルーターやインターネット接続のストレージデバイスなどの機器に感染するマルウェアです。調査によると、世界54カ国で50万台以上の機器がVPNFilterに感染しているとのこと。

このVPNFilterは、以下の4つの機能を有しており、非常に高度な機能を持つ特徴があります。

・Torの匿名ネットワークを使って外部と通信する機能
・Webサイトの認証情報を入手する機能
・産業用制御システムの1つであるSCADAを監視する機能
・ネットワーク機器を停止させるキルスイッチの機能

TalosがVPNFilterのコードを解析したところ、過去にロシアがウクライナに対して大規模攻撃を行ったときに使用されていた「BlackEnergy」と共通点が多いことと、通常のマルウェアでは考えられないような、高度な実装が施されていることが確認されました。このため、Talosは「マルウェア作成に国家が関与している可能性がある」と指摘しています。

By thisisbossi

中でも大きな特徴として挙げられているのが、VPNFilterが3つのステージを持っていることです。第1ステージでは、VPNFilterがLinuxベースのファームウェアに感染した後、一定時間毎に特定のコマンドを実行するcrontabに自身を実行する設定を追加します。これにより、ネットワーク機器が再起動されたとしてもマルウェアの活動が維持されるようになります。

そして第2ステージでは、ファイルやデバイス情報の収集を行い、システムのキルスイッチの追加や外部のC&Cサーバーからコマンドを受け付けて実行する機能を設置します。

最後の第3ステージでは、ネットワークのトラフィックを監視し、入手したユーザーの認証情報をTorネットワークを使って外部に送信したり、SCADAのModbusプロトコルを監視したりするモジュールが用意され、いつでも攻撃できる態勢を整えます。

VPNFilterの感染経路は特定されていないものの、感染している機器には、いずれも既知の脆弱性が存在していた共通点が確認されていることから、Talosは既知の脆弱性対応が行われていれば感染することはないとしています。

しかし、Talosは、このような事実があっても、マルウェアの感染を抑えることが難しいと指摘。それは、対象の機器がインターネットと直接つながっている部分であり、この機器にマルウェア対策ツールやパッチを適用することは、スループットの低下や未知の不具合によるネットワーク障害を発生させてしまう恐れがあるからです。このため、多くの技術者はこれらのネットワーク機器に手を入れることを極力避けたいと考えて、パッチの適用を見送る傾向にあり、通常の脆弱性対策で問題ないはずのマルウェアに多くの機器が感染してしまったとTalosは述べています。

By Dmitry Grigoriev

そこで、TalosはVPNFilterの被害を防ぐため、VPNFilterに感染した機器に対して、以下の2点の対応を推奨しています。

・VPNFilterに感染した機器は工場出荷時のデフォルト状態にリセットし、第2ステージと第3ステージのマルウェアを削除する
・最新のパッチを適用する