コンピューターにウイルスが潜んでいないか頻繁に確認したり、 システムやプログラムをすぐにアップデートしたり、 強力なパスワードを使用したりと、インターネット接続時に常に注意しているにも関わらず、なぜかインターネットが遅くなったり、一部の Web サイトでアクセスが拒否されたりすることはありませんか?それは、コンピューターではなく、ルーターに潜むマルウェアのせいかもしれません。
なぜルーターなのか
サイバー犯罪者がルーターを標的にする、主な 2 つの理由があります。一つ目は、すべてのネットワークトラフィックがこのデバイスを通過すること、二つ目は、通常のウイルス対策製品ではルーターをスキャンできないことです。そのため、ルーター内に侵入したマルウェアには攻撃の機会が多くありますが、検知される可能性は低く、ましてや削除されることは極めて低くなります。感染したルーターを使用してサイバー犯罪者ができることをいくつかご紹介します。
ボットネットの作成
最も一般的な例の 1 つは、感染したルーターはボットネット、つまり DDoS 攻撃の一環として特定の Web サイトやオンラインサービスに無数のリクエストを送信するデバイスのネットワークに接続、参加することです。攻撃者の目的は、標的とするサービスに過剰な負荷をかけ、そのスピードを遅くし、最終的には障害を発生させることです。
ルーターは、悪意のあるリクエストを大量に送る合間にそのほかのトラフィックを処理することになるため、インターネットのスピードは遅くなります。困るのはルーターを乗っ取られた一般ユーザーです。
当社のデータによると、2021 年に最も活発にルーターを攻撃したマルウェアファミリーはMirai とMēris の 2 つです。前者が後者を大幅に上回り、ルーターに対するすべての攻撃のほぼ半数を占めています。
Mirai
名前の響きは良いものの(日本語の「未来」を意味します)悪名高いこのマルウェアファミリーは、2016 年から知られています。ルーター以外にも、IP カメラ、スマート TV、ワイヤレスコントローラーや広告用のデジタルディスプレイなど、企業向けのものも含む IoT デバイスを感染させます。当初、Mirai ボットネットは Minecraft のサーバーに大規模な DDoS 攻撃を行うために考え出されましたが、その後、そのほかのサービスに対しても使用されるようになりました。このマルウェアのソースコードは、長い間オンライン上に流出しており、さらに新しい亜種の基礎を形成しています。
Mēris
Mēris はラトビア語で「疫病」を意味するとおり、既に何千もの高性能のデバイス(大半は MikroTik ルーター)を感染させ、DDoS 用のネットワークに接続させています。例えば、2021 年に行われた アメリカの金融会社に対する攻撃 の最中に 、Mēris に感染したデバイスのネットワークから送られたリクエスト数は 1 秒間に 1,720 万回に達したと言われています。その数か月後、このボットネットはロシアの複数の金融会社および IT 企業 を攻撃し、 1 秒あたり 2,180 万回のリクエストを記録しています。
データ盗難
ルーターを感染させるマルウェアの中には、データを盗むなど深刻な被害をもたらすものもあります。オンラインストアでの決済データ、ソーシャルネットワークでの認証情報、メールでやり取りされる業務文書など、オンラインでは重要な情報を数多く送受信します。このような情報は、ほかのネットワークトラフィックと一緒に、必然的にルーターを通過します。攻撃された場合、データはマルウェアによって傍受され、サイバー犯罪者の手に渡ってしまう可能性があります。
このようにデータを盗むマルウェアの 1 つが VPNFilter です。これは、ルーターや NAS サーバーを感染させることで、情報を収集したり、ルーターを制御または無効化したりする能力を得ます。
偽の Web サイト
ルーターに仕込まれたマルウェアは、ユーザーがアクセスしたいサイトではなく、広告や悪意のあるサイトを含むページにひそかにリダイレクトさせる可能性があります。ユーザー(と、使用しているブラウザ)は正規のWeb サイトにアクセスしているつもりでも、実際にはサイバー犯罪者の手中に落ちていることになります。
このような仕組みです:ユーザーがサイトの URL(例えば、google.com)をアドレスバーに入力すると、パソコンやスマートフォンはすべての登録された IP アドレスおよびそれらに対応する URL が保存されている特別な DNS サーバーにリクエストを送ります。ルーターが感染している場合は、正規の DNS サーバーの代わりに偽のDNS サーバーへリクエストを送信し、「google.com」というクエリに対して全く異なるサイト(おそらくは フィッシングサイト)の IP アドレスで応答するというものです。
トロイの木馬「Switcher」は、ルーターに侵入し設定を変更して悪意のある DNS サーバーをデフォルトとして指定するという、まさにこの動きをしていました。当然ながら、偽のページで入力されたすべてのデータは、攻撃者に流出しました。
マルウェアがルーターに入り込む方法
ルーターにマルウェアを忍び込ませる主な手段として、管理者パスワードを推測する方法とデバイス内の脆弱性を突く方法の 2 つがあります。
パスワードの推測
同一機種のルーターは、工場出荷時に同じ管理者パスワードが設定されていることが多いようです。ここでネットワークセキュリティキー(Wi-Fi に接続するために入力する文字列)とは混同しないよう気をつけてください。管理者パスワードは、ルーターの設定メニューに入るために使用されます。ユーザーがうっかり工場出荷時の設定を変更していなかった場合、攻撃者はたやすくパスワードを推測し(特に攻撃者がルーターの種類を知っている場合)、ルーターを感染させることができます。
しかし、最近はルーターの製造業者がセキュリティに真剣に取り組み、特定の各デバイスに固有のランダムなパスワードを割り当てるようになったため、この手法はあまり効果的ではなくなりました。しかし、古い機種のルーターで正しいパスワードの組み合わせを推測するのは、依然としてとても簡単です。
脆弱性の悪用
ルーターの脆弱性は、インターネットへのゲートウェイに存在する抜け穴であり、あらゆる種類の脅威は、そこから家庭または企業のネットワークへ容易に入り込むことができます。(ルーター内に留まる場合はほとんど検知されませんが)前述の Mēris ボットネットは、MikroTik ルーターのパッチ未適用の脆弱性を悪用し、まさにこのようなことを実現しています。
当社の調査では、過去 2 年間だけでも、ルーターに数百もの新しい脆弱性が発見されています。脆弱性に対応するために、ルーターの製造業者はパッチや新しいファームウェアのバージョン(基本的にはルーターの OS の更新)をリリースしていますが、多くのユーザーは、ルーターのソフトウェアもほかのプログラムと同様に更新する必要があることを認識していないようです。
ネットワークを保護する方法
家庭や企業で使用しているルーターを保護し、データの安全を維持するために、次のことを推奨します:
- 少なくとも、月に一度はルーターの製造業者のWeb サイトで最新のファームウェアを確認し、利用できる場合はすぐにインストールしてください。一部の機種ではパッチが自動で配信されますが、手動でインストールが必要な場合もあります。デバイスのソフトウェア更新に関する情報も製造業者のWebサイトで見つけることができます。
- ルーターの管理者パスワードは、長くて強力なものを作成してください。また、組み合わせを忘れないようにパスワードマネージャーの使用をお勧めします。
- 十分なスキルをお持ちの場合や手順が分かる(例えば、ルーターの製造業者のWeb サイトでその手順が公開されているなど)場合は、ルーターの管理者設定へのリモートアクセスを無効化してください。
- 不謹慎な第三者や隣人が、自身の感染したデバイスからネットワークにアクセスしてマルウェアを拡散することがないように、独自のパスワード設定や強力なワイヤレス暗号化規格を使用したり、ゲスト用ネットワーク を設定したりするなど、 適切な Wi-Fi 設定 を行ってください。
- 送信情報をルーターに渡す前に暗号化するVPN アプリを使用すると、サイバー犯罪者がデバイスを感染させたとしても、情報を安全な状態に保つことができます。