国境なきフィッシング:ルーターをアップデートすべき理由

ルーターを乗っ取り、オンラインバンキングやサービスの認証情報を盗み取るサイバー犯罪が発生しています。

昨今サイバースペースで最もよく見られる脅威は何かといえば、やはりフィッシングです。フィッシングは、特に目新しい脅威ではありません。しかし、偽のメールを媒介としない、ルーターを利用したフィッシングというものがあります。今回取り上げる「ルーターを乗っ取る」タイプのフィッシングは、公衆Wi-Fiを使用しない、リンクはクリックする前にマウスオーバーしてみる、などの標準的な対策では防ぎきれません。それでは、詳しく見ていきましょう。

どのようにしてルーターが乗っ取られるのか

ルーターを乗っ取る方法は、大きく分けて2つあります。まずは、初期設定の認証情報を利用する方法です。ご存じのとおり、ルーターには管理者パスワードというものがあります。Wi-Fiに接続する際に使用するパスワードではなく、ルーターの管理画面にログインして設定を変更する際に使用するパスワードです。

パスワードは利用者側で変更できますが、多くの人は変更しないまま使用しています。ルーターのメーカーが設定したパスワードをそのまま使用していると、外部の人がそれを推測できてしまいます(Google検索で分かる場合もあります)。

もう1つは、ルーターのファームウェアの脆弱性(常にある程度は存在します)を悪用する方法です。この方法では、パスワードを一切使用しなくてもハッカーがルーターを支配下に置くことが可能になります。

いずれの方法でも、さまざまなサイバー犯罪行為をリモートで、自動的に、かつ大規模に行うことができます。ルーターの乗っ取りは犯罪者にとってさまざまな利用価値がありますが、中でもフィッシングは検知が極めて困難です。

乗っ取られたルーターはどのようにフィッシングに利用されるのか

攻撃者は、ルーターの乗っ取りに成功すると、次にその設定を変更します。ルーターがドメイン名解決のために使用するDNSサーバーのアドレスを変える、というわずかな目立たない変更です。この変更に、どのような意味があるのでしょうか?なぜ危険なのでしょうか?

DNS(ドメインネームシステム)は、インターネットを支える柱です。利用者がブラウザーのアドレスバーにWebサイトのアドレスを入力した時点で、ブラウザーはその場所を実際に分かっているわけではありません。ブラウザーやWebサーバーは、私たち人間にとってなじみのあるドメイン名ではなく、数値のIPアドレスを使用します。というわけで、Webサイトに到達するまでには以下の処理が行われます。

  1. ブラウザーがDNSサーバーにリクエストを送信する。
  2. DNSサーバーがWebサイトのアドレスを人間が解読できる形式から数値のIPアドレスに変換してブラウザーに伝える。
  3. ブラウザーがWebサイトの場所を認識して利用者のためにページを読み込む。

一連の処理は、非常にすばやく水面下で行われます。しかしルーターが乗っ取られDNSサーバーのアドレスが変更されていると、利用者のリクエストはすべて、攻撃者の支配下にある悪意あるDNSサーバーに送信されるようになります。悪意あるサーバーからは、アクセスしようとしたサイトのIPアドレスではなく、偽のIPアドレスが返されます。言い換えれば、攻撃者は、利用者というよりもブラウザーをだまして、アクセスしようとしていたサイトの代わりにフィッシングページを読み込ませるのです。利用者もブラウザーも、そのページを正規のものと認識してしまいます。

ブラジルの事例:ルーター乗っ取りによるフィッシング攻撃

この種の攻撃が集中して発生した最近の事例(英語記事)では、D-Link DSLDSLink 260EARG-W4 ADSLのほか、Secutech製およびTOTOLINK製のルーターにあるセキュリティ上の欠陥が利用されました。ルーターに侵入した攻撃者は、DNS設定を変更してしまいました。乗っ取られたルーターの所有者がオンラインバンキングやサービスプロバイダーのWebサイトにアクセスしようとすると、攻撃者の支配下に置かれた悪意あるDNSサーバーによって、利用者の認証情報を窃取するために作られたフィッシングページへ勝手にリダイレクトされました。

この一連の事例では、主にブラジルの利用者が標的とされました。ブラジルの金融機関、銀行、ブラジルを本拠とするホスティングプロバイダーやクラウドサービスプロバイダーのサイトを模倣した偽サイトが作成されていました。

さらに、PayPalNetflixUberGmailといった大手インターネットサービスの利用者も標的となりました。

ルーターを利用したフィッシングから身を守るには

先に述べたとおり、この種のフィッシングは検知がきわめて困難です。それでも、まったく望みがないわけではありません。参考にしていただきたい注意事項をいくつか紹介します。

  • ルーターのWebインターフェイスにログインし、初期設定されているパスワードを別のものに変更し、リモート管理機能やその他の危険な設定を無効にする。
  • ルーターのファームウェアを最新の状態にする。アップデートを適用することで、通常は脆弱性が修正されます。アップデートが自動配信されるのか、手動でインストールしなければならないのか機種によって異なるので、メーカーがWebサイトで公開している機種情報を確認して、アップデート方法を確認してください。
  • 使い慣れたWebサイトにアクセスしているときでも、どこか普段と違う部分や以前は表示されなかったポップアップウィンドウなどがないか、注意する。Webサイト内のさまざまなセクションをクリックしてみてください。フィッシングページがいくら巧妙に作られているといっても、Webサイト全体を完璧に再現することはほぼ不可能なので、何か不自然なところが見つかる可能性があります。
  • 認証情報(あるいは機密データ)を入力するときは、接続が保護されていることを確認(URLの冒頭が「https://」になっているかどうかをチェック)し、証明書内の名前がその会社の名前と一致するかどうかを必ず確認する。確認するには、ブラウザーのアドレスバーにある錠アイコンをクリックしてください。※UIはお使いのブラウザーのバージョンによって多少異なる可能性があります
    – Internet Explorer
    またはEdgeの場合:錠アイコンをクリックすると証明書の情報が表示される。
    – Firefox
    の場合:錠アイコンをクリックし、[接続]項目の[>]をクリックする。
    – Chrome
    の場合:錠アイコンをクリックし、[証明書]をクリックし、[発行先]を確認する。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?