piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ルーターの設定情報改ざんについてまとめてみた

インシデントまとめ

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。
ここでは関連情報をまとめます。

確認されている被害事象

(1) ルーターの設定情報が改ざんされる

ルーター内部に設定されたDNS情報が改ざんされる。
DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。

(2) マルウェア配布サイトへ誘導される

改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。
一部サイト（Twitter,Facebookなど）は正規のIPアドレスが返されサイトへ接続できる。
誘導先の配布サイトではマルウェアのインストールを促すメッセージが表示される。
メッセージ表示後、OKをクリックすると「facebook.apk」「chrome.apk」等というファイル名のマルウェアがダウンロードされる。
メッセージの種類は4か国語（日本語、英語、中国語、韓国語）が確認されている。接続された環境に応じて表示が変わる。
マルウェアはダウンロード後に自動的にインストールされるものではない。
APKファイルを誤ってインストールした場合、マルウェアが自動的に実行されGoogleに関連するアカウント情報が窃取される等の恐れがある。
この他に、SMSの情報を取得を試みるコードや韓国内の銀行、ゲームアプリにひもづく文字列が確認されている。
端末中に「su」が存在するか確認する実装が行われている。Kasperskyはこれをルート化有無の確認か、システム権限取得を行う目的ではないかと推定。

APKファイルの解析はNICT、TrendMicro、Kasperskyが公開した解析記事が詳しい。
- 2018年3月26日 Wi-Fi ルータの DNS 情報の書換え後に発生する事象について（NICT）
- 2018年3月29日不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生（TrendMicro）
- 2018年3月30日続報：ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認（TrendMicro）
- 2018年4月2日ルーターのDNS改竄によりダウンロードされる「facebook.apk」の内部構造を読み解く（Kaspersky）
- 2018年4月16日 Roaming Mantis uses DNS hijacking to infect Android smartphones（Kaspersky）

確認時期	表示されるメッセージの例	ダウンロードされるファイル名
2018年3月半ば	Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。	facebook.apk
2018年3月下旬	閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。	chrome.apk

確認されているFacebook.apkのサンプルは次のもの。

改ざん被害が報告されているルーター

被害報告上がっているのは特定の一機種ではなく、複数機種。
現時点で名前が挙げられているのはLogitec、Buffalo、NTT東日本、NTT西日本のルーター。

Logitecのルーター対象機種（報告が上がっているもの）

TwitterではLogitecへ問い合わせした結果、2017年末のルーターの脆弱性が悪用された恐れがあるとの投稿がある。*3
- ロジテック製300Mbps無線LANブロードバンドルータおよびセットモデル（全11モデル）に関する重要なお知らせとお願い

Buffaloのルーター対象機種（報告が上がっているもの）

NTT東日本・NTT西日本のルーター対象機種

2社が出荷した2シリーズ（OG410,OG810）は合計約26万5千台。
3月27日以降にNTT東日本へ問い合わせがあったのは24件。

Kasperskyの観測情報

検知件数は8,477件。170のユーザーで確認されている。
検知した国の1位は韓国、2位はインド、3位は日本。

改ざんされる原因

第三者が設定情報を改ざんする方法は3月28日時点で断定されていない。
NTT東日本・西日本は次の条件に合致する場合に改ざん被害を受ける恐れがあると情報公開している。

(1)本機器をインターネット接続用途で利用している場合。
(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。
(3)機器設定用ログインパスワードを初期値より変更していない場合。

2018年3月28日 [PDF]「Netcommunity OG シリーズ」におけるインターネット接続不可事象について（西日本電信電話株式会社）
2018年3月28日「Netcommunity OGシリーズ」におけるインターネット接続不可事象について（東日本電信電話株式会社）

ロジテックは設定に起因する問題と報告している。

ロジテック製ルーターをお使いのお客様で本事象が発生している場合は、ご利用機器の設定を変更いただくことで解消いたします。
設定の変更方法については、下記の窓口にお問い合わせください。

2018年4月2日インターネット上での接続障害について（ロジテック株式会社）

改ざん被害を受けた場合

ルーターの設定情報の内、DNSが正規の設定となっているか確認する。
メーカーやサポートへ対応方法を相談する。

報告事例・報道など（関連が疑われるもの含む）

韓国

日本

新聞報道

新聞社	日付	見出し
朝日新聞	2018年3月27日朝刊	ルーターにサイバー攻撃か NTTの法人向け機器
読売新聞	2018年3月31日夕刊	ルーター設定無断変更被害相次ぐスマホ情報抜き取り
朝日新聞	2018年4月6日朝刊	ルーター被害 NTT以外もサイバー攻撃 PC・スマホ接続不可に
日本経済新聞	2018年4月6日夕刊	サイバー攻撃ルーター狙う個人情報盗む目的か

更新履歴

2018年3月29日 AM 新規作成
2018年3月29日 AM 被害が確認されたBuffaloの機種を追加（WHR-G301N）
2018年3月31日 AM TrendMicroの解析記事を追加
2018年4月2日 AM ロジテックの注意喚起、Kasperskyの解析記事を追加
2018年4月6日 AM ロジテックのルーター機種を追加
2018年4月10日 PM 新聞報道欄を追加

*1:https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11187751811

*2:ルーターにサイバー攻撃、ＮＴＴ以外も　ネット使えず,朝日新聞,2018年4月6日アクセス

*3:https://twitter.com/mikenekoyuzu/status/976593490489430017

*4:http://blog.maxx.co.jp/?eid=362

*5:https://productforums.google.com/forum/#!msg/chrome-ja/coU655lLpRA/RYCCYYMJCQAJ