LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

ルータのDNS設定を変更するサイバー攻撃にご用心

こんにちは。サイバーグリッド研究所 チーフリサーチャーの谷口です。

最近、一部のインターネット利用者の間で、Webサイトを閲覧した際に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」(原文ママ)という表示が出て、マルウェアがダウンロードされたり、インターネット接続ができなくなったりすることが話題となっています。

この事象は、WebサイトのIPアドレスを問い合せる先のDNSサーバの設定が第三者に勝手に変更され、攻撃者のWebサイトへ誘導されるサイバー攻撃が原因です。DNSサーバの設定が変更される方法はいくつか考えられますが、今回は、私が用意した環境で第三者がルータの管理画面へログインして設定変更する行為を観測しましたので、攻撃手法の概要と対策について解説します。

確認した事象

  • 初期パスワードのままでルータの管理画面をインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられた
  • その状態でWebサイトへアクセスすると、攻撃者が用意したWebサイトへ誘導された

対策

  • 管理画面をインターネットに公開しない
  • 管理画面のログインパスワードに初期パスワードをそのまま利用しない、また新たに設定しても推測可能なものとはしない
  • ファームウェアは最新のものにアップデートする

注)ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア(プログラム)のこと。

攻撃の観測方法

今回は次のような環境で攻撃を観測しました(図1)。

図1 攻撃の観測環境
図1 攻撃の観測環境

本事象は複数のルータで起きていることが確認されていますが、今回の検証用にはロジテック社のLAN-W300N/Rを2台使いました。私が今回観測したい攻撃以外にもルータを狙った攻撃は複数あり、これらの観測対象以外のものを除外するため *1 、ルータをインターネットに直接公開することはせずに、手前のモデムでポート転送して攻撃経路を制限しました。検証用ルータ1では80番ポートで、検証用ルータ2では8080番ポートで管理画面を公開し、ログインパスワードは初期値のままにして、各ルータに届くパケットをキャプチャするように設定しました。

4月3日~6月6日の2カ月間、観測を続けた結果、DNS設定が変更されたのは8回でした(表1)。

表1 DNS設定の変更観測日
観測日 対象ルータ 変更されたDNS設定値
4月4日 ルータ1 プライマリDNS:220.136.72[.]101
セカンダリDNS:220.136.72[.]101
4月14日 ルータ1 プライマリDNS:118.166.2[.]238
セカンダリDNS:220.136.183[.]124
5月26日 ルータ2 プライマリDNS:192.200.110[.]107
セカンダリDNS:192.200.110[.]109
5月27日 ルータ2 プライマリDNS:192.200.110[.]107
セカンダリDNS:192.200.110[.]109
5月30日 ルータ2 プライマリDNS:192.200.110[.]106
セカンダリDNS:192.200.110[.]109
6月1日 ルータ2 プライマリDNS:192.200.110[.]108
セカンダリDNS:192.200.110[.]109
6月5日 ルータ1 プライマリDNS:192.200.104[.]42
セカンダリDNS:192.200.104[.]43
6月6日 ルータ2 プライマリDNS:192.200.104[.]42
セカンダリDNS:192.200.104[.]43

今回は検証用ルータにおいて意図的に管理画面を公開しましたが、古いファームウェアを利用している場合は利用者の意図とは関係なく管理画面が公開されてしまう問題があります *2 。現在はベンダから対策版のファームウェアが公開されていますので、当該機種をお使いの方はまずファームウェアのアップデートを確実に実施してください。

  • *2「LAN-W300N/R」シリーズにおけるセキュリティ上の弱点(脆弱性)の注意喚起
    (https://warp.ndl.go.jp/info:ndljp/pid/8198317/www.ipa.go.jp/about/press/20120525.html)

攻撃リクエスト

ルータの管理画面はBasic認証がかかっていますが、攻撃者は初期パスワードで認証を試行し(図2 No.18)、認証突破後にDNSの設定変更を試みています(図2 No.36)。ロジテック社のLAN-W300N/Rには存在しないdnscfg.htmlやtcpipwan.htmへのアクセスもあり、複数ルータの設定変更に対応したツールで攻撃している可能性があります(図2 No.34,47)。

図2 攻撃の流れ(ミラーリングによる攻撃パケットのキャプチャ)
図2 攻撃の流れ(ミラーリングによる攻撃パケットのキャプチャ)

今回観測した攻撃は、ブルートフォースで認証突破をしている痕跡がありませんでした。このため、初期パスワードで管理画面をインターネットに公開しているルータを狙ったものだと推測されます。

DNS設定変更後の挙動

DNS設定が変更された状態で名前解決を行うと、一部ドメインを除いて一律に 23.239.97[.]221 のIPアドレスが返ってきます。試しに、http://example.com/ へアクセスすると通常とは異なる応答が返ってきました。具体的には、Facebook拡張ツールをインストールさせようとするポップアップや仮想通貨発掘ツールのスクリプトが埋め込まれているWebページが返ってきました(図3、図4)。その他、http://23.239.97[.]221/に直接アクセスしても404を返す細工がなされていました(図4)。

図3 DNS設定変更後のexample.comのhtmlソース
図3 DNS設定変更後のexample.comのhtmlソース
図4 exmaple.comに対するDNS、HTTPの応答結果
図4 exmaple.comに対するDNS、HTTPの応答結果

参考情報

インターネットプロバイダやルータを販売するメーカーから注意喚起が出ています。ルータをお使いの方は使用機種の対応状況をご確認ください。

[掲載は順不同]

まとめ

現在、世の中でよく話題になるIoT(ルータやネットワークカメラ)への攻撃の大半は、脆弱性のある古いファームウェアを使い続けている、またはパスワード等の設定が甘いものです。前述した対策を実施することで防げるものが多くあります。

最近はファームウェアの自動アップデート機能を有するルータが増えています。自分ではルータの管理が難しい方や数年前のルータを使い続けている方は、安全にインターネット利用を楽しむためにルータの買い替えも視野に対策を検討していただけると幸いです。

この記事は役に立ちましたか?

はい いいえ