日: 2018年6月11日

高値で買ったアフォいる？

ルータのDNS設定を変更するサイバー攻撃にご用心

こんにちは。サイバーグリッド研究所　チーフリサーチャーの谷口です。

最近、一部のインターネット利用者の間で、Webサイトを閲覧した際に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」（原文ママ）という表示が出て、マルウェアがダウンロードされたり、インターネット接続ができなくなったりすることが話題となっています。

この事象は、WebサイトのIPアドレスを問い合せる先のDNSサーバの設定が第三者に勝手に変更され、攻撃者のWebサイトへ誘導されるサイバー攻撃が原因です。

確認した事象

初期パスワードのままでルータの管理画面をインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられた
その状態でWebサイトへアクセスすると、攻撃者が用意したWebサイトへ誘導された
対策

管理画面をインターネットに公開しない
管理画面のログインパスワードに初期パスワードをそのまま利用しない、また新たに設定しても推測可能なものとはしない
ファームウェアは最新のものにアップデートする
注）ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア（プログラム）のこと。

今回観測した攻撃は、ブルートフォースで認証突破をしている痕跡がありませんでした。このため、初期パスワードで管理画面をインターネットに公開しているルータを狙ったものだと推測されます。

DNS設定変更後の挙動

DNS設定が変更された状態で名前解決を行うと、一部ドメインを除いて一律に 23.239.97[.]221 のIPアドレスが返ってきます。試しに、http://example.com/ へアクセスすると通常とは異なる応答が返ってきました。具体的には、Facebook拡張ツールをインストールさせようとするポップアップや仮想通貨発掘ツールのスクリプトが埋め込まれているWebページが返ってきました。その他、http://23.239.97[.]221/に直接アクセスしても404を返す細工がなされていました。

(※中略、全文はソース元へ)
https://www.lac.co.jp/lacwatch/people/20180607_001647.html