わずか3日間で60万台ものルーターを破壊したマルウェア攻撃「Pumpkin Eclipse」について明らかに

2023年10月25日からの数日間で、Windstreamというインターネットサービスプロバイダ(ISP)のユーザーが相次いで「ルーターが突然機能しなくなって再起動やリセットもできない」と報告しました。アメリカの通信サービス企業・Lumenのサイバー脅威研究および運用部門であるBlack Lotus Labsが2024年5月30日に発表したレポートによると、一連の事態は未知のアクターによるマルウェア攻撃が原因であり、なんと60万台ものルーターが破壊されたとのことです。

The Pumpkin Eclipse - Lumen
https://blog.lumen.com/the-pumpkin-eclipse/

Mystery malware destroys 600,000 routers from a single ISP during 72-hour span | Ars Technica
https://arstechnica.com/security/2024/05/mystery-malware-destroys-600000-routers-from-a-single-isp-during-72-hour-span/

Windstreamは主にアメリカの農村部でインターネット通信を提供するISPであり、2023年の時点で約160万人の加入者がいるとのこと。2023年10月25日、このWindstreamを使用するユーザーから「ルーターが壊れてインターネットが使えなくなった」という報告が上がりました。

あるユーザーは海外掲示板のRedditに、「T3200モデムを使い始めてしばらくたちますが、今日はこれまで経験したことがない事態が起きました。インターネットのランプが赤く点灯しているのです。これは直るのでしょうか？」と書き込みました。同様の報告は10月25日から数日間にわたって相次ぎ、ユーザーらはルーターがリセットボタンにも反応せず、インターネットが使えないせいでさまざまな被害を受けたと主張しています。

結局、Windstreamは被害を受けたルーターが使用できないと判断し、影響を受けたユーザーに新しいルーターを送ることで問題を解決したとのことです。

そして2024年5月30日、Black Lotus Labsが「10月25日から27日の72時間に発生した、単一のISPに属する60万台以上のルーターが永久に動作不能になる破壊的なイベント」についてのレポートを発表しました。この報告書ではISPの名前までは出ていませんが、言及されている問題の内容や規模からWindstreamとみて間違いないと考えられます。Black Lotus Labsはこのイベントを、発生した時期がハロウィン近くだったことになぞらえて「Pumpkin Eclipse」と名付けました。

Black Lotus Labsによると、控えめに見積もっても60万台と推定されるルーターは、未知の動機を持つ正体不明の脅威アクターによって攻撃を受けたとのこと。攻撃者はカスタム開発したツールキットではなく、Chaluboと呼ばれるコモディティマルウェアを使用して攻撃を実行したそうです。

Chaluboに組み込まれた機能によって攻撃者はルーター上でカスタムLuaスクリプトを実行し、ルーターのファームウェアを永久に上書きしたと考えられます。Black Lotus Labsはレポートで、「私たちは悪意のあるファームウェアアップデートが、ルーターの停止を引き起こすことを意図した故意の攻撃であったと強い確信を持っています」と述べています。

今回の攻撃の特徴として挙げられるのが、60万台以上のルーターが一度に破壊されて交換せざるを得なくなったという点です。また、従来の攻撃はほとんどが特定のルーターモデルや一般的な脆弱(ぜいじゃく)性を標的としており、複数のISPにまたがって行われていたのに対し、今回の攻撃は特定のISPに限定されていた点も特徴的とのこと。

Black Lotus Labsはテクノロジー系メディアのArs Technicaに対し、これまでのところ一連のルーター破壊攻撃の背後に国家的なサイバー犯罪グループがいるとは認識していないものの、その可能性は排除できないと述べました。また、ルーターにマルウェアが感染した最初の経路は特定できておらず、ハッカーが悪用した可能性があるルーターの脆弱性についても認識していないとのことです。