サイバー事件簿、ルータの脆弱性に注意を、ルータのDNS設定を書き換える攻撃を確認

先週のサイバー事件簿 - ルータの脆弱性に注意を

3月26日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。ルータのDNS設定を書き換える攻撃が国内で確認された。この攻撃は2012年ごろから散発的に確認されており、今回確認されたのも似たようなケースとなる。

○ルータのDNS設定を書き換える攻撃を確認

2018年3月ごろから、ルータのDNS設定を書き換える攻撃が確認されている。この攻撃は、DNS設定を書き換えることで不正サイトへ誘導し、Android端末向けの不正アプリを強制的にダウンロードさせるというもの。不正アプリは「Facebook 拡張ツールバッグ」を偽装し、実行されるとデバイス管理者の権限を要求。情報を窃取しようとする。

今回の攻撃は、どのような方法でルータが侵害されたか、正確なところはまだ不明。だが、ルータの脆弱性を放置していたり、管理機能への認証情報を初期状態のまま使用している場合は、ルータが乗っ取られる可能性が高い。

ルータの脆弱性を確認しつつ、ファームウェアは最新の状態に更新し、IDとパスワードは初期状態から変更する。こうした基本的なことをするだけでも十分対策として機能する。少しでも「おかしい」と感じたら、そして定期的に、ルータのDNS設定を確認しておきたい。もし不審なIPアドレスが指定されている場合は、ルータを初期状態に戻すことで復旧できるだろう。
○バッファロー、無線LANルータ「WZR-1750DHP2」に複数の脆弱性

バッファローは3月28日、同社の無線LANルータ「WZR-1750DHP2」に複数の脆弱性があることを公開した。影響を受けるのは、「WZR-1750DHP2」のファームウェア Ver.2.30以前。

脆弱性は、認証回避、バッファオーバーフロー、OSコマンドインジェクション。第三者により任意のコマンドを実行されたり、サービス運用妨害(DoS)攻撃を受ける可能性がある。

最新ファームウェアがリリースされているので、対策はファームウェアのアップデートを行うこと。対策済みファームウェアのバージョンはVer.2.31以降となる。
○コンテンツマネジメントシステム「Drupal」に脆弱性

3月29日の時点で、オープンソースのコンテンツマネジメントシステム「Drupal」に脆弱性が確認されている。対象バージョンは、Drupal 8.5.1以前、Drupal 7.58以前。すでにサポートが終了している Drupal 6シリーズや、Drupal 8.4シリーズ以前も対象となる。

脆弱性は、リモートから任意のコードが実行可能となるもので、第三者により非公開データが窃取されたり、システムデータが改変される可能性がある。対策は修正済みのバージョンを適用すること。提供されているバージョンは以下の通り。

Drupal 8.5.1
Drupal 7.58
Drupal 8.4.6
Drupal 8.3.9

サポート対象外の Drupal 8.3系とDrupal 8.4系に対しては、一時的な回避策として修正バージョンを提供。あくまで一時的な処置なので、早急に脆弱性対策済みのバージョンへの適用を推奨している。
○Safariにスクリプトインジェクションの脆弱性

3月30日の時点で、AppleのWebブラウザ「Safari」に脆弱性が確認されている。影響を受けるのは、Safari version 11.0.2以前。

脆弱性は、サーバ証明書エラーの表示処理のスクリプトインジェクション。Safariではサーバ証明書の検証でエラーとなった際、アクセス時に使われたドメイン名を表示するエラーページに飛ばされる。これを利用して細工されたドメイン名のサイトに誘導。不正なエラーページを通じてスクリプトが実行される可能性がある。

対策方法は、Safariを最新バージョンにアップデートすること。対策バージョンはSafari 11.1以降。
○Apple、複数の製品における脆弱性のアップデートを提供

Appleは3月30日、同社製品の最新版アップデートを公開した。対象となるのは以下の通り。

iCloud for Windows 7.4以前
Safari 11.1以前
macOS High Sierra 10.13.4以前
macOS Sierra (Security Update 2018-002 未適用)
OS X El Capitan (Security Update 2018-002 未適用)
iTunes 12.7.4 for Windows以前
Xcode 9.3以前
tvOS 11.3以前
watchOS 4.3以前
iOS 11.3以前

脆弱性は、任意のコード実行、スクリプト実行、アドレスバー偽装、サービス運用妨害(DoS)、遠隔からのデバイスの再起動など。対象製品を使用している場合は、早急に最新版へとアップデートを行うこと。
○ISPを巻き込んで感染を広げる監視マルウェア「FinFisher」

3月27日現在、「FinFisher(フィンフィッシャー)」の活動が活発化している。FinFisherは「FinSpy」として知られるスパイウェア。Webカメラなどによるライブ監視、キーロガー、ファイルの抽出などの機能を備えている。特徴的なのは、まだ仮定ではあるものの、ISP(インターネットサービスプロバイダー)などの中間者が拡散経路になっているということだ。

本当にISP経由で拡散しているするとなると対策や予防は非常に難しい。ユーザーは正規のリンクに飛んだつもりでも、それが実は不正なリンクな場合があるからだ。アプリをダウンロードしようとして、気付かないうちにFinFisherが埋め込まれたアプリをダウンロードさせられているケースなどもあるという。そして、アプリインストール時にFinFisherに感染し被害が広まるといった寸法だ。

拡散に悪用されているアプリでFinFisherが確認されているのは、WhatsApp、Skype、Avast、WinRAR、VLC Playerなど。中間者が経路になっている場合、ユーザーができる対策は少ない。FinFisherを検知できるセキュリティソフトを導入するのが今のところ最善手となるだろう。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

「知らないうちにルーターの設定書き換えられて不正アプリに感染する」事態を防ぐためにやっておきたい、あの“一手間”

 サイバー攻撃の被害が後を絶たない昨今、被害者を増やさないためにできることとして、「犯罪者の立場で考えてみる」――という方法があります。

 あなたが犯人の立場だったとしたら、誰かをマルウェアに感染させるサイバー攻撃を行うためには、どうするでしょうか。ほっておいても感染させられる「WannaCry」のような攻撃方法は手が掛かるので、まずは被害者をだまして「クリックさせる」「インストールさせる」「アクセスさせる」ことを考えるでしょう。

 そんな手口でマルウェアに感染させるために、特定のサイトにアクセスさせるにはどのようにすればいいでしょうか。答えは意外と簡単です。

●うっかりアクセスしてしまう方法とは

 その答えは、「いつもやっていることの中に攻撃を紛れ込ませる」という方法です。例えば、多くの人はWebブラウザを使って、さまざまな調べ物をするのが日常になっているでしょうし、多くの時間をSNSの閲覧に使っているのではないでしょうか。攻撃者は、そのいつも見ている「検索サイト」や「SNS」に、攻撃を仕込むことを考えます。

 とはいえ、最近では私たちのリテラシーも高まってきています。「怪しいサイトはクリックしない」ということは学んできているはず。“ウソっぽいサイトや見たことないドメインのURL”はクリックしなくなってきています。リンク先と表記が異なるようなメール本文のURLも、ほとんどクリックすることはないでしょう(そうあってほしいです)。そのため、こうした手口によるサイバー攻撃の成功率は低くなっていると思います。

 しかし、攻撃者も黙ってはいません。もし見た目も実際も「facebook.com」というような正しいURLなのに、実際は攻撃サイトにつながってしまうとしたら……。昨今では、そんな攻撃が成立してしまうのです。

 これは「DNS」を書き換えることで可能になります。facebook.comやtwitter.comといった「ドメイン名」は、インターネット上ではIPアドレスに変換してやりとりをします。つまり、ドメイン名からIPアドレスに変換するのがDNSの役目というわけですが、このDNSを書き換えてしまうと、本来あるべきIPアドレスではなく、攻撃者が指定したIPアドレスにアクセスするため、利用者はこれまでアクセスできていた正しいURLを入力したにもかかわらず、攻撃者のサイトにつながってしまうのです。

 これはもはや、気を付けていても見抜くことはできないでしょう。

 ただし、PCのDNS設定を書き換えるのは難しく、家庭のブロードバンドルーターを操作できなければ、このような手口は難しいと思います。

●攻撃者のもう1つの狙い――あなたが“やらないこと”を探す

 攻撃者の視点でもう1つ有効な方法を挙げるなら、「あなたがやらないこと」を狙うでしょう。

 それは例えば「バックアップ」だったり「パスワードの使い分け」、そして「アップデート」などが挙げられます。バックアップをおろそかにしている人を狙う手口が「ランサムウェア」、同一のパスワードを使い回している人を狙うのが「パスワードリスト攻撃」、そしてアップデートを適用していない人を狙うのが「脆弱性を狙った攻撃」といった感じです。

 そしてもう1つ、とても重要な弱点があります。それは「初期パスワードを変えない」という、私たちの悪いクセです。実は最近、ここを狙った攻撃が増えているのです。例えばインターネットに接続するWebカメラやブロードバンドルーターが、全ての製品で共通の「初期パスワード」を持っている場合、単一の攻撃で多くの感染端末を作れてしまいます。

 ここで「あれっ?」と思った方は鋭い! そう、ブロードバンドルーターが初期パスワードのままだった場合、何らかの方法でWebブラウザを操作し、初期パスワードを使って設定を変更できてしまったら、DNSの書き換えも可能になってしまうのです。この手口を利用した可能性がある攻撃が今、実際に広まっているのが大きな問題となっています。

 これは、Webブラウザを利用していると、突然「Facebook拡張ツールバックを取り付けて安全性及び使用流暢性を向上します」などという表示が出てくるというもの。詳細な感染経路は不明ながら、ブロードバンドルーターの設定情報が改ざんされたことをきっかけとして感染が拡がっているものと考えられています。

 この攻撃を防ぐために、「私たちにできること」と「ベンダーにできること」があります。私たちにできることは、攻撃の可能性をつぶしていくためにブロードバンドルーターの初期パスワードを変更すること。ブロードバンドルーターのベンダーにできることは、「共通の初期パスワードを振る」という悪しき設定をやめ、機器ごとに異なるパスワードを設定した状態で出荷することです。そのような初期設定が行われている製品を見ると、「このベンダーは分かってる!」と思いますが、買ってみないと分からないのが難しいところです。

 今回の攻撃については、注視し続ける必要があります。私たちは、こうした攻撃に引っ掛からないためにも、私たちが「いつもやっていること」そして「やっていないこと」を見直し、「本来やるべきこと」をきっちり行う必要があるのです。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏