1: サーバル ★ 2018/06/10(日) 13:48:11.32 ID:CAP_USER9
ルータのDNS設定を変更するサイバー攻撃にご用心
こんにちは。サイバーグリッド研究所 チーフリサーチャーの谷口です。
最近、一部のインターネット利用者の間で、Webサイトを閲覧した際に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」(原文ママ)という表示が出て、マルウェアがダウンロードされたり、インターネット接続ができなくなったりすることが話題となっています。
この事象は、WebサイトのIPアドレスを問い合せる先のDNSサーバの設定が第三者に勝手に変更され、攻撃者のWebサイトへ誘導されるサイバー攻撃が原因です。DNSサーバの設定が変更される方法はいくつか考えられますが、今回は、私が用意した環境で第三者がルータの管理画面へログインして設定変更する行為を観測しましたので、攻撃手法の概要と対策について解説します。
確認した事象
初期パスワードのままでルータの管理画面をインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられた
その状態でWebサイトへアクセスすると、攻撃者が用意したWebサイトへ誘導された
対策
管理画面をインターネットに公開しない
管理画面のログインパスワードに初期パスワードをそのまま利用しない、また新たに設定しても推測可能なものとはしない
ファームウェアは最新のものにアップデートする
注)ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア(プログラム)のこと。
攻撃の観測方法
今回は次のような環境で攻撃を観測しました(図1)。
本事象は複数のルータで起きていることが確認されていますが、今回の検証用にはロジテック社のLAN-W300N/Rを2台使いました。私が今回観測したい攻撃以外にもルータを狙った攻撃は複数あり、これらの観測対象以外のものを除外するため *1 、ルータをインターネットに直接公開することはせずに、手前のモデムでポート転送して攻撃経路を制限しました。検証用ルータ1では80番ポートで、検証用ルータ2では8080番ポートで管理画面を公開し、ログインパスワードは初期値のままにして、各ルータに届くパケットをキャプチャするように設定しました。
4月3日~6月6日の2カ月間、観測を続けた結果、DNS設定が変更されたのは8回でした(表1)。
今回は検証用ルータにおいて意図的に管理画面を公開しましたが、古いファームウェアを利用している場合は利用者の意図とは関係なく管理画面が公開されてしまう問題があります *2 。現在はベンダから対策版のファームウェアが公開されていますので、当該機種をお使いの方はまずファームウェアのアップデートを確実に実施してください。
攻撃リクエスト
ルータの管理画面はBasic認証がかかっていますが、攻撃者は初期パスワードで認証を試行し(図2 No.18)、認証突破後にDNSの設定変更を試みています(図2 No.36)。ロジテック社のLAN-W300N/Rには存在しないdnscfg.htmlやtcpipwan.htmへのアクセスもあり、複数ルータの設定変更に対応したツールで攻撃している可能性があります(図2 No.34,47)。
今回観測した攻撃は、ブルートフォースで認証突破をしている痕跡がありませんでした。このため、初期パスワードで管理画面をインターネットに公開しているルータを狙ったものだと推測されます。
DNS設定変更後の挙動
DNS設定が変更された状態で名前解決を行うと、一部ドメインを除いて一律に 23.239.97[.]221 のIPアドレスが返ってきます。試しに、http://example.com/ へアクセスすると通常とは異なる応答が返ってきました。具体的には、Facebook拡張ツールをインストールさせようとするポップアップや仮想通貨発掘ツールのスクリプトが埋め込まれているWebページが返ってきました(図3、図4)。その他、http://23.239.97[.]221/に直接アクセスしても404を返す細工がなされていました(図4)。
参考情報
インターネットプロバイダやルータを販売するメーカーから注意喚起が出ています。ルータをお使いの方は使用機種の対応状況をご確認ください。
[掲載は順不同]
大切なお知らせ | BUFFALO バッファロー
重要なお知らせ - > インターネット上での接続障害について - ロジテック
不正なアプリのダウンロード案内が表示される事象について | IODATA アイ・オー・データ機器
不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム)サポートデスク
https://www.lac.co.jp/lacwatch/people/20180607_001647.html
こんにちは。サイバーグリッド研究所 チーフリサーチャーの谷口です。
最近、一部のインターネット利用者の間で、Webサイトを閲覧した際に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」(原文ママ)という表示が出て、マルウェアがダウンロードされたり、インターネット接続ができなくなったりすることが話題となっています。
この事象は、WebサイトのIPアドレスを問い合せる先のDNSサーバの設定が第三者に勝手に変更され、攻撃者のWebサイトへ誘導されるサイバー攻撃が原因です。DNSサーバの設定が変更される方法はいくつか考えられますが、今回は、私が用意した環境で第三者がルータの管理画面へログインして設定変更する行為を観測しましたので、攻撃手法の概要と対策について解説します。
確認した事象
初期パスワードのままでルータの管理画面をインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられた
その状態でWebサイトへアクセスすると、攻撃者が用意したWebサイトへ誘導された
対策
管理画面をインターネットに公開しない
管理画面のログインパスワードに初期パスワードをそのまま利用しない、また新たに設定しても推測可能なものとはしない
ファームウェアは最新のものにアップデートする
注)ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア(プログラム)のこと。
攻撃の観測方法
今回は次のような環境で攻撃を観測しました(図1)。
本事象は複数のルータで起きていることが確認されていますが、今回の検証用にはロジテック社のLAN-W300N/Rを2台使いました。私が今回観測したい攻撃以外にもルータを狙った攻撃は複数あり、これらの観測対象以外のものを除外するため *1 、ルータをインターネットに直接公開することはせずに、手前のモデムでポート転送して攻撃経路を制限しました。検証用ルータ1では80番ポートで、検証用ルータ2では8080番ポートで管理画面を公開し、ログインパスワードは初期値のままにして、各ルータに届くパケットをキャプチャするように設定しました。
4月3日~6月6日の2カ月間、観測を続けた結果、DNS設定が変更されたのは8回でした(表1)。
今回は検証用ルータにおいて意図的に管理画面を公開しましたが、古いファームウェアを利用している場合は利用者の意図とは関係なく管理画面が公開されてしまう問題があります *2 。現在はベンダから対策版のファームウェアが公開されていますので、当該機種をお使いの方はまずファームウェアのアップデートを確実に実施してください。
攻撃リクエスト
ルータの管理画面はBasic認証がかかっていますが、攻撃者は初期パスワードで認証を試行し(図2 No.18)、認証突破後にDNSの設定変更を試みています(図2 No.36)。ロジテック社のLAN-W300N/Rには存在しないdnscfg.htmlやtcpipwan.htmへのアクセスもあり、複数ルータの設定変更に対応したツールで攻撃している可能性があります(図2 No.34,47)。
今回観測した攻撃は、ブルートフォースで認証突破をしている痕跡がありませんでした。このため、初期パスワードで管理画面をインターネットに公開しているルータを狙ったものだと推測されます。
DNS設定変更後の挙動
DNS設定が変更された状態で名前解決を行うと、一部ドメインを除いて一律に 23.239.97[.]221 のIPアドレスが返ってきます。試しに、http://example.com/ へアクセスすると通常とは異なる応答が返ってきました。具体的には、Facebook拡張ツールをインストールさせようとするポップアップや仮想通貨発掘ツールのスクリプトが埋め込まれているWebページが返ってきました(図3、図4)。その他、http://23.239.97[.]221/に直接アクセスしても404を返す細工がなされていました(図4)。
参考情報
インターネットプロバイダやルータを販売するメーカーから注意喚起が出ています。ルータをお使いの方は使用機種の対応状況をご確認ください。
[掲載は順不同]
大切なお知らせ | BUFFALO バッファロー
重要なお知らせ - > インターネット上での接続障害について - ロジテック
不正なアプリのダウンロード案内が表示される事象について | IODATA アイ・オー・データ機器
不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム)サポートデスク
https://www.lac.co.jp/lacwatch/people/20180607_001647.html
14: 名無しさん@1周年 2018/06/10(日) 14:01:05.44 ID:3S/aAch70
>>1
どんな複雑なパスワードでも
ルータにアクセスしに行くときに
解析されてしまうだろ
どんな複雑なパスワードでも
ルータにアクセスしに行くときに
解析されてしまうだろ
39: 名無しさん@1周年 2018/06/10(日) 17:57:11.12 ID:8XO4xjuH0
>>1
大昔CATVのネットでDNSキャッシュが
おかしくなったのか
エロサイトに誘導された思い出
大昔CATVのネットでDNSキャッシュが
おかしくなったのか
エロサイトに誘導された思い出
41: 名無しさん@1周年 2018/06/10(日) 18:19:31.73 ID:30tGOr860
>>1
WANから管理者ページに行ける不具合をどうにかしろw
WANから管理者ページに行ける不具合をどうにかしろw
3: 名無しさん@1周年 2018/06/10(日) 13:50:46.61 ID:SKYbzxOX0
ルータのパスワードが
・パスワードなし
・初期パスワード
・数字4桁
はヤバイ
・パスワードなし
・初期パスワード
・数字4桁
はヤバイ
40: 名無しさん@1周年 2018/06/10(日) 18:05:27.73 ID:8XO4xjuH0
>>3
俺のルーター
admin
password
俺のルーター
admin
password
4: 名無しさん@1周年 2018/06/10(日) 13:51:24.96 ID:qYiXL9oH0
馬鹿にインターネッツは早過ぎた。そして日本人の八割は馬鹿だから仕方ない
5: 名無しさん@1周年 2018/06/10(日) 13:52:06.97 ID:98oNxZa30
いきなりCPUが100%になんのこれ?
11: 名無しさん@1周年 2018/06/10(日) 13:56:48.12 ID:I+sjEXVN0
>>5
違法で漫画を読むから感染したんだね。もう手遅れだよ。
ただそのPCにロクな情報が入っていないのなら心配する必要はない。
違法で漫画を読むから感染したんだね。もう手遅れだよ。
ただそのPCにロクな情報が入っていないのなら心配する必要はない。
6: 名無しさん@1周年 2018/06/10(日) 13:54:02.14 ID:3dydaysN0
普通にクライアント側でDNS設定しとけよ
7: 名無しさん@1周年 2018/06/10(日) 13:55:10.74 ID:dVmabBIP0
そんなバカいるわけ、いるんだよなこれが
9: 名無しさん@1周年 2018/06/10(日) 13:56:13.98 ID:fKJ7ynbW0
いや、初期パスワードもそこそこ複雑なのになってるだろ
メーカーがパスワード漏らしまくってるってかよ
メーカーがパスワード漏らしまくってるってかよ
10: 名無しさん@1周年 2018/06/10(日) 13:56:14.48 ID:35VBNQYX0
user admin password 1234いっぱいいるだろ
13: 名無しさん@1周年 2018/06/10(日) 13:58:28.64 ID:BlDW1pQb0
>>10
QAZWSXですがなにか
QAZWSXですがなにか
12: 名無しさん@1周年 2018/06/10(日) 13:57:13.77 ID:oZAnJEJA0
管理者pw4桁しか設定できない機種は死亡だな
15: 名無しさん@1周年 2018/06/10(日) 14:03:30.23 ID:dVmabBIP0
ID固定とかあるしな
もうこれわざとだろ
もうこれわざとだろ
16: 名無しさん@1周年 2018/06/10(日) 14:05:37.40 ID:EBMWihOB0
パス初期化で使ってる所は多い
17: 名無しさん@1周年 2018/06/10(日) 14:05:49.06 ID:GE+C0KOz0
デフォルトでLAN側からじゃなくてインターネット側から操作できるのか…
どんだけザルに作ってんだよ
どんだけザルに作ってんだよ
18: 名無しさん@1周年 2018/06/10(日) 14:06:41.88
これ無理だろ
禿のルーターとか説明書に書いてないし
禿のルーターとか説明書に書いてないし
19: 名無しさん@1周年 2018/06/10(日) 14:08:29.23 ID:L3Wys9qZ0
id:root
pass:root
id:admin
pass:admin
pass:root
id:admin
pass:admin
20: 名無しさん@1周年 2018/06/10(日) 14:08:43.95 ID:nhQgRuob0
Basic認証なのをどうにかしてほしいもんだ。
せめてDigestにしろよ・・・
せめてDigestにしろよ・・・
21: 名無しさん@1周年 2018/06/10(日) 14:16:40.85 ID:WDjNpXMX0
大抵idはrootかadminだもんな
22: 名無しさん@1周年 2018/06/10(日) 14:21:51.09
説明書にrootにしろって書いてあるから
23: 名無しさん@1周年 2018/06/10(日) 14:34:09.52 ID:w1MI97mn0
ルータの管理画面開いたの2年振りくらいだ
24: 名無しさん@1周年 2018/06/10(日) 14:38:36.46 ID:/Jy5LTHp0
はぁ・・・
例のWPAも更新来なかったし
カスタムロム焼きするかなぁ
めんどくせえええ
例のWPAも更新来なかったし
カスタムロム焼きするかなぁ
めんどくせえええ
25: 名無しさん@1周年 2018/06/10(日) 15:12:14.15 ID:n4WHDwPX0
ルーターのパスワード変更してたらどんなパスかわからんくなってしもたわ
27: 名無しさん@1周年 2018/06/10(日) 15:14:19.84 ID:cSA/yBKn0
スマフォでウェブサイトを閲覧中に、Googleのロゴと「あなたのシステムは4つのウイルスによってひどく損なわれています」という画面が表示されるのもあるな。
引っ掛かる馬鹿はいないのに。
引っ掛かる馬鹿はいないのに。
42: 名無しさん@1周年 2018/06/10(日) 18:22:24.17 ID:APciWHFs0
>>27
広告にスクリプト埋め込まれてるんでしょ
広告にスクリプト埋め込まれてるんでしょ
28: 名無しさん@1周年 2018/06/10(日) 15:14:52.99 ID:pt6cl+2X0
無線ルーターならわかるけどな
29: 名無しさん@1周年 2018/06/10(日) 15:16:30.23 ID:tRbS+Hk/0
うちは15年以上前の古いルータだからそろそろ手を打たないと危ないな
30: 名無しさん@1周年 2018/06/10(日) 15:17:18.28 ID:raxLeJrH0
感染状態が明白だと、利用者に対策対応されてしまうだけではw
31: ぱよぱよちーん 2018/06/10(日) 15:20:28.44
ソフトバンクの機器使ってる人達は、詰んでるだろこれ………
32: 名無しさん@1周年 2018/06/10(日) 15:25:28.45 ID:nhQgRuob0
最近のルーターはファームの自動更新機能がついていて勝手に再起動するし、
メンテナンスフリーだからあまりアクセスしない。
そのうちに乗っ取られるリスクは上がったな。
メンテナンスフリーだからあまりアクセスしない。
そのうちに乗っ取られるリスクは上がったな。
33: 名無しさん@1周年 2018/06/10(日) 15:47:43.53 ID:4UKrTJWY0
ルータ画面てWAN側からみられんのかよ
なんでそんな設定にしてんのよヽ('A`)ノ
なんでそんな設定にしてんのよヽ('A`)ノ
34: 名無しさん@1周年 2018/06/10(日) 16:04:52.06 ID:pr/bONs70
>>33
俺もそれ思ったわ
一般家庭向けルータでWANから管理画面に行けるルータとか見たことない
俺もそれ思ったわ
一般家庭向けルータでWANから管理画面に行けるルータとか見たことない
35: 名無しさん@1周年 2018/06/10(日) 16:06:29.74 ID:nhQgRuob0
>>33
リモートでLAN内のPC経由か、VPN経由なら見れる。
リモートでLAN内のPC経由か、VPN経由なら見れる。
36: 名無しさん@1周年 2018/06/10(日) 16:12:38.37 ID:qf4yjHuf0
初期設定でそうなってんでしょ
37: 名無しさん@1周年 2018/06/10(日) 16:38:42.59 ID:yhVKvvel0
無線でまだWEP使ってる奴w
38: 名無しさん@1周年 2018/06/10(日) 17:49:34.94 ID:lxtKvHkf0
某ルーターのIDもパスも無しは最強だった
43: 名無しさん@1周年 2018/06/10(日) 18:54:15.80 ID:fA5Xdt3J0
最近ネットのスピードが明らかに遅いからおそらくうちもやられてるなこれ
引用元: ・http://asahi.5ch.net/test/read.cgi/newsplus/1528606091/
当サイトの国内取引所人気ランキング
1位 QUOINEX コインエクスチェンジ
【取扱通貨 BTC・BCH・ETH・ETC・XRP・LTC・QASH 】リップル・イーサリアムを購入の方におすすめ。アプリが配信されスマホでも快適に。ドル建て・ユーロ建ても魅力。 詳細はこちらから
【取扱通貨 BTC・BCH・ETH・ETC・XRP・LTC・QASH 】リップル・イーサリアムを購入の方におすすめ。アプリが配信されスマホでも快適に。ドル建て・ユーロ建ても魅力。 詳細はこちらから 
3位 bitFlyer ビットフライヤー
【取扱通貨 BTC・BCH・ETH・ETC・MONA・LTC・Lisk】ビットコイン・リスクを購入の方におすすめ。ビットコインの購入は現物、 FXや3ヶ月先物と購入方法が豊富。詳細はこちらから
GMOコイン
【取扱通貨 BTC・BCH・ETH・ETC・MONA・LTC・Lisk】ビットコイン・リスクを購入の方におすすめ。ビットコインの購入は現物、 FXや3ヶ月先物と購入方法が豊富。詳細はこちらから GMOコイン
ICO・エアドロップ情報
*ICO・エアドロップなどの情報は急遽変更の可能性があるため下記のリンクから確認下さい。
D- ZONE ディーゾーン韓国発の仮想通貨、2018年7月中旬 CoinExchange.io上場予定。好評につき、2nd Airdrop開催中!! 5/15~5/21(24:00まで)AirDropの申請ページへ
読まれてる記事
【悲報】企画で1100万円分の仮想通貨をエベレストに埋めた結果→
【仮想通貨】おい!めっちゃビットコイン儲かる方法見つけたぞ wwwwww
【悲報】仮想通貨、自分、退場、いいっすか…。 もう立ち直れない。
BTC初心者「仮想通貨って、実際どのくらいの人が周りで持ってる?????」
【超絶悲報】家族に内緒でコインチェックに280万入れて億り人になったんだが
【悲報】実家暮らし30歳、仮想通貨になけなしの10万を突っ込み続けた結果・・・・・
【朗報】仮想通貨ノアコイン6月12日にやばい内容がある模様www【NOAHCOIN】
【速報】SBIがビットフライヤー買収失敗していた噂で騒ぎになる wwwwwwwwww
【朗報】仮想通貨、ワイの資産540倍になるwwwwwwwwww【感謝】
コインチェック580億円盗難犯を追い詰めた日本人20歳のアニメヲタクが凄すぎるwww
明日のビットコインは上がる?下がる?
毎週、火・水・木 の予想が当たれば無料でビットコインが貰える!
コメントする