X
【DNS】ルータ乗っ取りのサイバー攻撃に注意!初期パスワード・簡単なパスワードは危険 全てのページを仮想通貨採掘サイトに転送
■ このスレッドは過去ログ倉庫に格納されています
0001サーバル ★垢版2018/06/10(日) 13:48:11.32ID:CAP_USER9
ルータのDNS設定を変更するサイバー攻撃にご用心

こんにちは。サイバーグリッド研究所 チーフリサーチャーの谷口です。

最近、一部のインターネット利用者の間で、Webサイトを閲覧した際に「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」(原文ママ)という表示が出て、マルウェアがダウンロードされたり、インターネット接続ができなくなったりすることが話題となっています。

この事象は、WebサイトのIPアドレスを問い合せる先のDNSサーバの設定が第三者に勝手に変更され、攻撃者のWebサイトへ誘導されるサイバー攻撃が原因です。DNSサーバの設定が変更される方法はいくつか考えられますが、今回は、私が用意した環境で第三者がルータの管理画面へログインして設定変更する行為を観測しましたので、攻撃手法の概要と対策について解説します。

確認した事象

初期パスワードのままでルータの管理画面をインターネットに公開したところ、第三者によりDNS設定などが勝手に書き換えられた
その状態でWebサイトへアクセスすると、攻撃者が用意したWebサイトへ誘導された
対策

管理画面をインターネットに公開しない
管理画面のログインパスワードに初期パスワードをそのまま利用しない、また新たに設定しても推測可能なものとはしない
ファームウェアは最新のものにアップデートする
注)ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア(プログラム)のこと。

攻撃の観測方法

今回は次のような環境で攻撃を観測しました(図1)。

本事象は複数のルータで起きていることが確認されていますが、今回の検証用にはロジテック社のLAN-W300N/Rを2台使いました。私が今回観測したい攻撃以外にもルータを狙った攻撃は複数あり、これらの観測対象以外のものを除外するため *1 、ルータをインターネットに直接公開することはせずに、手前のモデムでポート転送して攻撃経路を制限しました。検証用ルータ1では80番ポートで、検証用ルータ2では8080番ポートで管理画面を公開し、ログインパスワードは初期値のままにして、各ルータに届くパケットをキャプチャするように設定しました。

4月3日〜6月6日の2カ月間、観測を続けた結果、DNS設定が変更されたのは8回でした(表1)。

今回は検証用ルータにおいて意図的に管理画面を公開しましたが、古いファームウェアを利用している場合は利用者の意図とは関係なく管理画面が公開されてしまう問題があります *2 。現在はベンダから対策版のファームウェアが公開されていますので、当該機種をお使いの方はまずファームウェアのアップデートを確実に実施してください。

攻撃リクエスト

ルータの管理画面はBasic認証がかかっていますが、攻撃者は初期パスワードで認証を試行し(図2 No.18)、認証突破後にDNSの設定変更を試みています(図2 No.36)。ロジテック社のLAN-W300N/Rには存在しないdnscfg.htmlやtcpipwan.htmへのアクセスもあり、複数ルータの設定変更に対応したツールで攻撃している可能性があります(図2 No.34,47)。

今回観測した攻撃は、ブルートフォースで認証突破をしている痕跡がありませんでした。このため、初期パスワードで管理画面をインターネットに公開しているルータを狙ったものだと推測されます。

DNS設定変更後の挙動

DNS設定が変更された状態で名前解決を行うと、一部ドメインを除いて一律に 23.239.97[.]221 のIPアドレスが返ってきます。試しに、http://example.com/ へアクセスすると通常とは異なる応答が返ってきました。具体的には、Facebook拡張ツールをインストールさせようとするポップアップや仮想通貨発掘ツールのスクリプトが埋め込まれているWebページが返ってきました(図3、図4)。その他、http://23.239.97[.]221/に直接アクセスしても404を返す細工がなされていました(図4)。


参考情報

インターネットプロバイダやルータを販売するメーカーから注意喚起が出ています。ルータをお使いの方は使用機種の対応状況をご確認ください。

[掲載は順不同]

大切なお知らせ | BUFFALO バッファロー
重要なお知らせ - > インターネット上での接続障害について - ロジテック
不正なアプリのダウンロード案内が表示される事象について | IODATA アイ・オー・データ機器
不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム)サポートデスク
https://www.lac.co.jp/lacwatch/people/20180607_001647.html
0002名無しさん@1周年垢版2018/06/10(日) 13:48:36.96ID:BXcTU9/E0
   / ̄ ̄ ̄Y ̄ ̄ \
   l            l
   ヽ,,,,,/  ̄ ̄ ̄ ̄ ヽノ
   |:::::  ι       l
   |:::   __    _ |  ソウルを火の海にするニダ
  (6   \●>  <●人 
   ! ι  ι )・・(   l 
   ヽ       (三)   ノ     【2get☆】
    /\    二  ノ 
   /⌒ヽ. `ー ─ 一' \  
  l    |      ヽo ヽ   
  
非韓三原則を守りましょう!!
「関わらない・教えない・助けない」

                      
0003名無しさん@1周年垢版2018/06/10(日) 13:50:46.61ID:SKYbzxOX0
ルータのパスワードが
・パスワードなし
・初期パスワード
・数字4桁
はヤバイ
0004名無しさん@1周年垢版2018/06/10(日) 13:51:24.96ID:qYiXL9oH0
馬鹿にインターネッツは早過ぎた。そして日本人の八割は馬鹿だから仕方ない
0006名無しさん@1周年垢版2018/06/10(日) 13:54:02.14ID:3dydaysN0
普通にクライアント側でDNS設定しとけよ
0007名無しさん@1周年垢版2018/06/10(日) 13:55:10.74ID:dVmabBIP0
そんなバカいるわけ、いるんだよなこれが
0009名無しさん@1周年垢版2018/06/10(日) 13:56:13.98ID:fKJ7ynbW0
いや、初期パスワードもそこそこ複雑なのになってるだろ
メーカーがパスワード漏らしまくってるってかよ
0010名無しさん@1周年垢版2018/06/10(日) 13:56:14.48ID:35VBNQYX0
user admin password 1234いっぱいいるだろ
0011名無しさん@1周年垢版2018/06/10(日) 13:56:48.12ID:I+sjEXVN0
>>5
違法で漫画を読むから感染したんだね。もう手遅れだよ。
ただそのPCにロクな情報が入っていないのなら心配する必要はない。
0014名無しさん@1周年垢版2018/06/10(日) 14:01:05.44ID:3S/aAch70
>>1
どんな複雑なパスワードでも
ルータにアクセスしに行くときに
解析されてしまうだろ
0015名無しさん@1周年垢版2018/06/10(日) 14:03:30.23ID:dVmabBIP0
ID固定とかあるしな
もうこれわざとだろ
0016名無しさん@1周年垢版2018/06/10(日) 14:05:37.40ID:EBMWihOB0
パス初期化で使ってる所は多い
0017名無しさん@1周年垢版2018/06/10(日) 14:05:49.06ID:GE+C0KOz0
デフォルトでLAN側からじゃなくてインターネット側から操作できるのか…
どんだけザルに作ってんだよ
0018名無しさん@1周年垢版2018/06/10(日) 14:06:41.88
これ無理だろ
禿のルーターとか説明書に書いてないし
0020名無しさん@1周年垢版2018/06/10(日) 14:08:43.95ID:nhQgRuob0
Basic認証なのをどうにかしてほしいもんだ。
せめてDigestにしろよ・・・
0021名無しさん@1周年垢版2018/06/10(日) 14:16:40.85ID:WDjNpXMX0
大抵idはrootかadminだもんな
0022名無しさん@1周年垢版2018/06/10(日) 14:21:51.09
説明書にrootにしろって書いてあるから
0024名無しさん@1周年垢版2018/06/10(日) 14:38:36.46ID:/Jy5LTHp0
はぁ・・・
例のWPAも更新来なかったし
カスタムロム焼きするかなぁ
めんどくせえええ
0025名無しさん@1周年垢版2018/06/10(日) 15:12:14.15ID:n4WHDwPX0
ルーターのパスワード変更してたらどんなパスかわからんくなってしもたわ
0026名無しさん@1周年垢版2018/06/10(日) 15:12:59.40ID:pt6cl+2X0
ルーターのパスワードなんか変更する奴ほとんどいないだろ
0027名無しさん@1周年垢版2018/06/10(日) 15:14:19.84ID:cSA/yBKn0
スマフォでウェブサイトを閲覧中に、Googleのロゴと「あなたのシステムは4つのウイルスによってひどく損なわれています」という画面が表示されるのもあるな。

引っ掛かる馬鹿はいないのに。
0028名無しさん@1周年垢版2018/06/10(日) 15:14:52.99ID:pt6cl+2X0
無線ルーターならわかるけどな
0029名無しさん@1周年垢版2018/06/10(日) 15:16:30.23ID:tRbS+Hk/0
うちは15年以上前の古いルータだからそろそろ手を打たないと危ないな
0030名無しさん@1周年垢版2018/06/10(日) 15:17:18.28ID:raxLeJrH0
感染状態が明白だと、利用者に対策対応されてしまうだけではw
0031 ぱよぱよちーん垢版2018/06/10(日) 15:20:28.44
ソフトバンクの機器使ってる人達は、詰んでるだろこれ………
0032名無しさん@1周年垢版2018/06/10(日) 15:25:28.45ID:nhQgRuob0
最近のルーターはファームの自動更新機能がついていて勝手に再起動するし、
メンテナンスフリーだからあまりアクセスしない。
そのうちに乗っ取られるリスクは上がったな。
0033名無しさん@1周年垢版2018/06/10(日) 15:47:43.53ID:4UKrTJWY0
ルータ画面てWAN側からみられんのかよ
なんでそんな設定にしてんのよヽ('A`)ノ
0034名無しさん@1周年垢版2018/06/10(日) 16:04:52.06ID:pr/bONs70
>>33
俺もそれ思ったわ
一般家庭向けルータでWANから管理画面に行けるルータとか見たことない
0036名無しさん@1周年垢版2018/06/10(日) 16:12:38.37ID:qf4yjHuf0
初期設定でそうなってんでしょ
0039名無しさん@1周年垢版2018/06/10(日) 17:57:11.12ID:8XO4xjuH0
>>1
大昔CATVのネットでDNSキャッシュが
おかしくなったのか
エロサイトに誘導された思い出
0042名無しさん@1周年垢版2018/06/10(日) 18:22:24.17ID:APciWHFs0
>>27
広告にスクリプト埋め込まれてるんでしょ
0043名無しさん@1周年垢版2018/06/10(日) 18:54:15.80ID:fA5Xdt3J0
最近ネットのスピードが明らかに遅いからおそらくうちもやられてるなこれ
0044名無しさん@1周年垢版2018/06/10(日) 19:52:08.63ID:mevBBZ8k0
>>15
dion starcat?
0045名無しさん@1周年垢版2018/06/10(日) 19:54:29.55ID:xpf2cYWP0
最近バーチャルYouTuberは3,000人を越えています。
そこで今どのVtuberが人気なのか調べてみようと思います。

第二回バーチャルYouTuber人気投票
今回は一人三票です。今回からモンスト、鈴木ヒナ、ポン子、アイドル部など強力な新人さんも入っておりますので、
投票をよろしくお願いいたします。

あなたの好きなVtuberは?
https://goo.gl/forms/wHUyA3Phxj6y2nu73

・2018/6/5時点でチャンネル登録数10,000人以上のVtuberを対象としています。
・一つのチャンネルでVtuberが複数人いる場合は、それぞれ分けています。
・一人三票です。
・このグーグルフォームに投票するにはグーグルアカウントでログインする必要があります。
・並び順は前回の得票数の高い順と新人は登録者数の多い順に並んでいます。
・今回も1,000人の方が投票するまで継続します。

第一回バーチャルYouTuber人気投票結果(2018年5月7日〜5月30日、全投票数1,000票)(スプレッドシート)
https://docs.google.com/spreadsheets/d/e/2PACX-1vTpmFxf3MHjezIdvmte2CD6kWk4so-gtI8a9XJVjS_O0aMZhekYnSCj-n4DCLfHGXhke7HZYbJM1TEa/pubhtml?gid=0&;single=true

DNS
0047名無しさん@1周年垢版2018/06/11(月) 11:28:12.03ID:UV9it8P/0
GMOにレジストラ任せてるようなトコに限ってこういうこという。
0048名無しさん@1周年垢版2018/06/11(月) 11:38:50.42ID:PZRXNtok0
これWAN側の接続リクエストを破棄するみたいな設定ならば大丈夫なの?
0049ドクターEX垢版2018/06/11(月) 11:39:04.48ID:ka7wXAff0
うちのルーターのパスワードはPASSWORD。
教えてやったからな。
エブリバディ、カモーン!www
0050名無しさん@1周年垢版2018/06/11(月) 11:40:41.21ID:9JK5iR2x0
>>40
バッファロー乙
0053名無しさん@1周年垢版2018/06/11(月) 11:45:42.08ID:s9O4Lo7V0
>>31
AIRはヤバいな
0054名無しさん@1周年垢版2018/06/11(月) 11:48:14.77ID:p32wn7EH0
>>53
スマホと同じってわけではないんだ
0055名無しさん@1周年垢版2018/06/11(月) 11:50:20.50ID:aBDwpeWH0
インターネット側から機器の設定ができるってことがそもそもおかしいのでは?
0056名無しさん@1周年垢版2018/06/11(月) 12:05:46.24ID:I0wrKGx00
>>9
初期パスなんてマニュアルに書いてあんだろ
生産品の初期パスがそれぞれ違うなんて思ってんのか
0057名無しさん@1周年垢版2018/06/11(月) 12:07:00.20ID:HaBVuq2F0
1234とかにしてるのかな?
0059名無しさん@1周年垢版2018/06/11(月) 12:45:32.07ID:f0WOLS790
俺の暗号には必ず 093877 奥さん・バナナ を入れるようにしている
0060名無しさん@1周年垢版2018/06/11(月) 13:03:26.68ID:xxuRxtwX0
ルーターのマニュアルのpdfダウンロードすると
ログイン名と初期パスワードが
書いてあるね

本体のステッカー参照
ってしとけばわからないのに
0062名無しさん@1周年垢版2018/06/11(月) 13:52:02.23ID:RnmKr2b40
>>59
0721 (オナニー)
893 (ヤクザ)
37564 (皆殺し)

みたいな語呂合わせで
数字を仕込むと覚えやすいよね
0063名無しさん@1周年垢版2018/06/11(月) 19:33:03.03ID:x2G+FVuV0
ソフトバンクどーすんのこれ……
0065名無しさん@1周年垢版2018/06/11(月) 19:39:37.72ID:vuvlRWCx0
>>64
デフォルト=メーカー共通だぞw
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況