研究者らによると、最近発見された「AryStinger」ボットネットは、サポート終了済みのD-Link製ルーター数千台や一部のネットワーク接続型ストレージ(NAS)デバイスを密かに乗っ取り、それらを分散型スキャンおよびプロキシネットワークへと変貌させていたことが判明した。攻撃者はこのネットワークを利用して、自身の活動を隠蔽し、他の標的に対して攻撃を仕掛けることができる。
自分のデバイスがボットネットに支配されてしまうことは、標的とされた人々だけの問題ではありません。それは、あなた自身のプライバシーやセキュリティをも危険にさらす可能性があります。
AryStingerボットネットは、主に乗っ取られたD-Link製ルーター「DIR-850L」および「DIR-818LW」を基盤として構成されています。これらの機器はすでにサポート終了からかなり時間が経過していますが、家庭や小規模オフィスで依然として広く使用されているため、ボットネット運営者にとって魅力的な標的となっています。
攻撃者たちは、13年前に公表された脆弱性を悪用し、多数のルーターを乗っ取った。研究者らによると:
「世界中で少なくとも4,300台のルーターがすでに感染しており、その数は今も増え続けている。」
ベンダーによるサポートが終了したルーターを標的にすることで、攻撃者は、今後セキュリティパッチが提供されることのないにもかかわらず、インターネットに接続されたままのデバイスへのアクセス権を獲得する。
AryStingerは、感染した各デバイスを、研究者たちが「エグゼキュータ」と呼ぶものに変えます。これは、ネットワークのスキャン、プロキシとしての機能、トンネルの構築、そして攻撃者に代わってコマンドを実行できる、遠隔操作可能なノードです。
このボットネットのコントローラーは、大規模な偵察タスクを多数の小さなタスクに分割し、それらを各「エグゼキューター」に割り当てることで、一般家庭用ルーターの群れを事実上、大規模なスキャンプラットフォームへと変貌させている。
このボットネットの主な目的は、大規模な偵察活動です。コントローラーは以下の操作が可能です:
- スキャンジョブ(IP範囲、開放ポート、DNSレコードなど)を、多数のエグゼキュータに並行して配信する。
- これらの結果を活用して、ネットワークのマッピングを行い、新たな脆弱性のあるサービスを特定し、さらなる侵害に備える(「フットプリント調査」)。
感染したデバイスの所有者にとって、さらに懸念されるのは、AryStingerがDNS設定を改ざんできる点です。これにより、攻撃者は以下のことが可能になります:
- 被害者のブラウザのトラフィックを、フィッシングページやマルウェアをホストしているサイトへリダイレクトする。
- ルーターやNASを経由するすべての送受信ネットワークトラフィックを、検知されずに監視し、場合によっては盗み出す。
これにより、本来は十分に保護されているデバイスでさえも危険にさらされる可能性があります。侵害されたルーターに接続されている携帯電話、タブレット、ノートパソコンも、同様に通信先を乗っ取られる可能性があります。
影響を受けているかどうかを見分ける方法
影響を受けるルーターやNASをお持ちの方にとって、直ちに現れる兆候はごくわずかなものか、あるいは全く見られない場合もあります。考えられる兆候としては、次のようなものがあります:
- 通信速度が若干遅くなる
- 時折、原因不明のDNS障害やリダイレクトが発生する
- 不規則な時間帯における発信トラフィックの急増
しかし、その根底にあるリスクは十分に深刻である:
- Privacy:攻撃者がユーザーの通信内容を傍受したり、通信先を改ざんしたりする可能性があり、その結果、ユーザー名、パスワード、セッションクッキー、その他の機密データが盗み取られる恐れがあります。
- 法的責任と評判:あなたのIPアドレスが、詐欺、クレデンシャルスタッフィング、嫌がらせ、その他の犯罪行為に悪用される可能性があり、その結果、サービスプロバイダーや法執行機関の注目を集める恐れがあります。これは、他のプロキシボットネットでもすでに確認されている現象です。
- ネットワークへの侵入:特に侵害されたNASデバイスにおいて、攻撃者は内部ネットワークの構造を把握し、標的とする他のシステムを探し出すことができる可能性があります。
どうすればいい
攻撃者が廃棄されたネットワーク機器を利用してボットネットを構築したのは、今回が初めてのことではありません。残念ながら、最も効果的な解決策は、同時に最も採用されにくい対策でもあります。それは、サポート終了となったルーターやNAS機器を交換することです。
もしそれがすぐには難しい場合は、デバイスが侵害されにくくなるよう、以下の対策を講じることができます:
- お使いのデバイス向けに利用可能な最新のファームウェアを、たとえ古いものであっても適用し、既知の脆弱性に関するベンダーのセキュリティ勧告を確認してください。
- デフォルトの管理者パスワードを、他とは異なる強固なパスワードまたはパスフレーズに変更してください。他のアカウントで使用しているパスワードを再利用することは絶対に避けてください。
- インターネット(WAN)からのリモート管理を無効にしてください。管理画面へのアクセスは、自宅やオフィスのネットワーク内からのみ行ってください。
- WPA2 または WPA3の無線暗号化と強力な Wi-Fi パスワードを使用することで、ローカルでの不正利用のリスクを低減できます。
- お使いのルーターで対応している場合は、WAN側のUPnPや旧式のリモートアクセスプロトコルなど、使用していないサービスを無効にしてください。
- マルウェア対策スキャンを を実行し、トラフィックが改ざんされていた間に個別の感染が発生していないかを確認してください。
たとえこれらの推奨事項をすべて適用したとしても、サポート終了となったルーターは信頼できないものと見なすべきです。できるだけ早く交換する計画を立ててください。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
