朝から昼寝

ITや家計、身近なことの整理

[お知らせ]
当サイトは、2024年1月1日に
新URL(happynap.net)に引っ越しました





このページの内容は、最新ではない場合がありますので、新URLをご確認ください。






当サイトには広告を含みます。"オススメ"として紹介している商品やサービスは、個人的にそう思えたものだけです。
共感、興味をもっていただけるものがあればご利用ください (広告掲載ポリシー)。

家庭用ルーター不正利用につながる攻撃手法 (警視庁による注意喚起)

セキュリティ 自宅ネットワーク ネットワーク [IT]

年末年始のAmazon

happy-nap.hatenablog.com

↑ 人気

概要

先日、2023年3月28日に警視庁から発信された "家庭用ルーターの不正利用に関する注意喚起について" に関し、要点がよく分からず、そのモヤモヤした感じを以下の記事にまとめました。
happy-nap.hatenablog.com

その後、最もモヤモヤしていた点である、どのような経路や手法により"見覚えのない設定"をされるのか、について触れた記事等を見つけて参考になったので、本記事にまとめます。

本記事の目的

  • 家庭用ルーターがどのような経路や手法により"見覚えのない設定"をされるのか参考情報を確認する

Stable Diffusionで作成(プロンプト:a hacker, executing malicious code, wi-fi home router, signal effect, internet background)
Stable Diffusionで作成(プロンプト:a hacker, executing malicious code, wi-fi home router, signal effect, internet background)

警視庁による注意喚起の概要 (おさらい)

2023年3月28日、警視庁から"家庭用ルーターの不正利用に関する注意喚起について"という情報が発信されました。

概要をおさらいします。

(1) サイバー攻撃の準備

サイバー攻撃者が家庭用ルーターに対し、"外部から不正に操作して搭載機能を有効化"した状態に設定変更する(="不正な状態")

  • 例 ※警視庁の注意喚起で明確には記載が無いため当サイトとしての解釈
    • VPN機能の有効化
    • DDNS機能の有効化
    • インターネット(WAN側)から管理画面への接続許可

(2) サイバー攻撃の実行

"不正な状態"の家庭用ルーターサイバー攻撃に不正利用(悪用)される

(3) 課題

"不正な状態"は、従来の対策だけでは解消(復旧)できない

(4) 対策1 (予防、軽減)

従来の対策に加え、"新たな対策" が必要となる

分類 内容
従来の対策 ・初期設定の単純なIDやパスワードは変更する。
・常に最新のファームウェアを使用する。
・サポートが終了したルーターは買い替えを検討する。
新たな対策 ・見覚えのない設定変更がなされていないか定期的に確認する。
("見覚えのない設定"があると、"不正な状態"に該当する可能性があるため)

(5) 対策2 (復旧)

見覚えのない設定があった場合には、対処として"ルーターの初期化を行い、ファームウェアを最新に更新した上、ルーターのパスワードを複雑なものに変更"する

文脈まとめ

(1)、(2)が攻撃者による攻撃手法、(4)、(5)がその対策に相当します。(3)が判明した特徴です。

本記事では、主に"(1) サイバー攻撃の準備"について参考情報を確認していきます。

つまり、家庭用ルーターがどのような経路や手法により"見覚えのない設定"をされるのか、という点です。

家庭用ルーター不正利用につながる攻撃手法

どのような経路や手法により"見覚えのない設定"をされるのか、について触れた記事等をいくつか見つけて参考になりました。

デジタルライフ推進協会(DLPA)への取材 (INTERNET Watch)

2023年4月6日のINTERNET Watchの記事にて、DLPAへの取材結果が掲載されています。

DLPAは、国内のWi-Fiルーターメーカー4社(バッファローAterm(NEC)、IOデータ、エレコム)が加盟する組織であり、今回の警視庁の注意喚起の取り組みに対して賛同をしています。

上記の記事で、以下のように触れられています。

DLPAでは、攻撃者が家庭用ルーターの設定を変更する手口として、不正なプログラムなどを使用してWi-Fiルーターのセキュリティの弱点(脆弱性を突いて侵入するものと、外部からWi-Fiルーターの管理画面にアクセスし、IDとパスワードを入力してログインするものの2通りがあると想定している。

ズバリ書いてありますね。ただ、このDLPAの想定がどのような根拠に基づくものか、については明記されていません。ただ、おそらくDLPAや各メーカーの独断ではなく、警視庁の捜査等になんらか協力する過程で得られた情報かと思われます。

この想定によると、"見覚えのない設定"をされるという事象は、基本的には既知の手法によるものであると読み取れます。
ただし、根拠(エビデンス)が示されていない以上、慎重に判断するなら、他に新たな手法によるものがあるのか、または不明(調査中)なのか、といったところまでは不明です。

続けて、対処については以下のように述べられています。

前者に対処する方法は、ファームウェアを更新し、脆弱性をなくすことだ。Wi-Fiルーターのメーカーは確認された脆弱性に対処するファームウェアの更新プログラムを随時提供している。ユーザーが気づかず、せっかくの更新プログラムが適用されないのでは困るが、更新プログラムが提供されたら自動的に更新されるようになっていれば問題ない。
(中略)
後者の「管理画面からの侵入」に対処するのが、管理画面へログインするためのIDやパスワードの固有化だ。

このファームウェア更新とパスワード固有化は、警視庁による注意喚起における"従来の対策"に合致するものです。
(パスワードに関しては、警視庁は"初期設定の単純なIDやパスワードは変更する"よう案内していますが、パスワードの固有化により単純なパスワード設定を回避できるという意味では同じです)

よって、DLPAの見解では、このような既知の手法による"見覚えのない設定"を防ぐための "従来の対策" が製品の初期設定として備わっている "自動ファームウェア更新機能" と "管理画面へログインするためのIDまたはパスワードの固有化" の2つが有効であるということです。

※警視庁の注意喚起自体では、その有効性については言及されていません。

なお、DLPAはこれらの機能を搭載した製品を"DLPA推奨Wi-Fiルーター"と称しています。

また、以下の点も追記されています。

[記事追記:4月7日 10:30]
編集部で警視庁に対し、今回の注意喚起のきっかけとなる事件等があったのか、などについて問い合わせたところ、2020年以降に発生した複数の企業に対するサイバー攻撃事案を捜査する段階で判明したものであるとの回答を得た。特定の事件や特定の機種への攻撃だけを想定したものではないようだ。

※上記引用に際し、当サイトにて、"操作"を"捜査"に修正しました(誤字と判断したため)。

警視庁から回答が得られたようで、以前からのサイバー攻撃事案を受けての注意喚起であったことが明記されています。

この点は、先日の産経新聞による報道における、警視庁公安部からの情報として、家庭用ルーターが踏み台として悪用される事象が、令和2年ごろから増加しているという説明とも合致します。

このINTERNET Watchの記事から、警視庁の注意喚起において分かりづらかった部分を補完できたかと思います。
ただし、根拠までは示されていないため、慎重に判断するなら、DLPAがこの近年のサイバー攻撃事案の対策として正しい見解を述べているという保証はありません。

朝日新聞の記事

2023年4月6日の朝日新聞の記事も掲載されていました。

有料記事なので、有料部分も一応確認してみましたが、特に目新しい情報はありませんでした。

一応、以下のような見解が記載されています。

ルーターを乗っ取るのは、海外からのアクセスを国内からのアクセスだと装うことが目的とみられる。企業側が海外からのアクセスを受け付けない仕組みを構築しているケースがあるためだ。

その国の企業に対する攻撃を行うために、まずその国の家庭用ルーターを乗っ取るということですね。

YouTubeの動画

以下のような動画もあり、参考になりました。

以下のような点について解説されています。

  • 家庭用ルーターを不正に設定変更するスクリプトが仕込まれたWebサーバに対しユーザーが不用意にアクセスすることで、そのユーザーの家庭内のルーターが設定変更されてしまう可能性がある

  • 現行の家庭用ルーターのうち、Atermシリーズは今回の注意喚起において指摘されている以下の機能がそもそも無いため、詳しくないユーザーにとってはAtermが最適である

    • VPN機能
    • DDNS機能
    • 管理画面へのWAN側からのアクセスを許可する機能

前者の家庭用ルーターを不正に設定変更する手法については、確かにあり得る構成かと思います。攻撃者が管理用画面のパスワード認証を回避できる場合があります。ちなみに、あまり詳しくないので分かりませんが、一般的なブラウザで(古いブラウザもあり得ますが)、どのくらいサイレントに(警告等を伴わずに)、そのスクリプト等が実行され得るのか、といったところは不明です。

後者のAtermについても、確かに現行のAtermはそれらの機能を搭載していないようなので、そのとおりかと思いました。VPNDDNSは、ほとんどのユーザーにとって不要な機能なので、搭載していないことが一番の対策になります。有効、無効で切り替えられる状態ですら危険ということです。
余談ですが、Atermは上記のような点を特にアピールしていません。 "機能が無いことのアピール" というのも変ですが。

(後日追記) 実際にルーター乗っ取りを検証した動画

上記の動画の続編?として、実際に家庭用ルーターの乗っ取りを検証した様子もアップされていました。

関連情報

論文(情報処理学会)

NIIが公開している情報処理学会の論文に、今回の注意喚起と同様にWi-Fiルーターを含む機器に対する攻撃手法に関する調査結果がまとめられています。

"特定のIoT機器のWebUIを狙ったサイバー攻撃の分析"というタイトルの論文です(IPSJ-JNL6103023.pdf)。

2019年の論文ですが、今回の警視庁による注意喚起において言及されている、"VPN"、"DDNS"、"インターネット(WAN側)から管理画面への接続"についても触れられており、基本的には"従来の対策"ができていない場合に、"見覚えのない設定"をされる可能性があるという解釈ができます。

まとめ

本記事では、警視庁の"家庭用ルーターの不正利用に関する注意喚起について"のモヤモヤしていた点の続編として、どのような経路や手法により"見覚えのない設定"をされるのか、について触れられている記事や動画についてまとめてみました。

参考になる情報が見つかったら、また記事を更新、作成していきたいと思います。

以下の記事では、BaffaloとAtermの"DLPA推奨Wi-Fiルーター"について紹介しています。

happy-nap.hatenablog.com

happy-nap.hatenablog.com