MikroTik製ルーターをボットネットMērisから守る方法

ボットネットMērisからMikroTik製ルーターを守るため、RouterOSのアップデートとルーター設定のチェックを。

先日、大規模なDDoS攻撃が観測されました。これは新しいボットネット「Mēris」を使用した攻撃で、ピーク時のトラフィックは約2,200万リクエスト/秒に達しています(英語記事)。Qratorの調査によると、ボットネットからのトラフィックのかなりの部分をMikroTikのネットワークデバイスが占めていました(英語記事)。

MikroTikが実施した調査では、同社ルーター内に新たな脆弱性は見つかりませんでした。ただし、古い脆弱性が今でも脅威となっている可能性があります。

MikroTikのデバイスがボットネットに組み入れられた理由

数年前、セキュリティ調査によってMikroTik製ルーターに脆弱性のあることが発見されました。MikroTik製ルーターの管理ツールであるWinboxを通じ、多くのデバイスのセキュリティが侵害されました。MikroTikは2018年にこの脆弱性を修正しましたが、ルーターをアップデートした人ばかりではなかったようです。

それだけでなく、ルーターをアップデートしたけれども、製造元の推奨していたパスワード変更の措置をとっていない場合もあります。パスワードを変更しなければ、ファームウェアをアップデートしたとしても、攻撃者がルーターにログインして再び悪用を開始することが可能です。

MikroTikによると、Mērisに感染したルーターは、2018年にセキュリティ侵害されたのと同じデバイスだとのことです(英語記事)。同社は、デバイスのセキュリティ侵害を見分ける指標のほか、推奨事項を紹介しています。

MikroTik製ルーターがボットネットに加担していないか見分ける方法

ルーターがボットネットに加担している場合、サイバー犯罪者によってファームウェア設定が変更されています。MikroTikでは、まずはデバイスの設定を見て以下の点を確認するように推奨しています。

  • fetch()メソッドを含むスクリプトを実行するルールが存在する場合は、削除する([System]-[Scheduler]で確認)。
  • SOCKSプロキシが有効になっているかどうか確認する([IP]-[SOCKS])。使用していなければ、無効にする。
  • 「lvpn」という名前のL2TPクライアント(または、見慣れない名前のL2TPクライアント)があれば、削除する。
  • ポート5678を通じたリモートアクセスを許可するファイアウォールルールがあれば、削除する。

MikroTik製ルーターを保護するには

防衛戦略の重要ポイントは、定期的なアップデートです。以下、保護のための推奨事項をご確認ください。

  • ルーターのファームウェアが最新バージョンかどうか確認し、定期的に更新を実施する。
  • どうしても必要でないかぎり、ルーターへのリモートアクセスは無効にする。
  • どうしてもリモートアクセスが必要な場合には、VPNを通じてアクセスする(例えばIPsecを使用するなど)。
  • 長くて強度の高いパスワードを使用する。現在使っているパスワードの強度が十分であっても、念のため変更しましょう。

基本的に、自分のLANは安全ではないとの前提で進めましょう。1台のコンピューターが感染すると、攻撃者は境界線の内部からルーターを攻撃可能となり、パスワードの総当たりを仕掛けてルーターへのアクセス権を得る可能性があります。当社からは、インターネット接続するコンピューターすべてに信頼できるセキュリティ製品を導入することをお勧めします。

ヒント