さまざまなルーターや NAS(ネットワーク接続ストレージ)デバイスに感染して使用不能にする機能を持った、新しい脅威が出現しました。このマルウェア「VPNFilter」が、モノのインターネット(IoT)を狙う他の脅威と違うのは、感染したデバイスを再起動しても執拗に存在し続けることです。VPNFilter には、デバイスを通過してルーティングされるトラフィックを盗聴するなど、多くの機能があります。VPNFilter の作成者は、特に産業用制御システム「SCADA」に狙いを定めていると見られ、Modbus SCADA 通信の傍受に特化したモジュールを作っています。
Cisco Talos の新しい調査によると、VPNFilter に伴う動きはこの数週間で活発化しているということで、攻撃者はとりわけウクライナの組織を狙っているようです。VPNFilter が広く拡散しているのは確かですが、シマンテックのハニーポットとセンサーから得たデータによると、IoT を狙う他のマルウェア、たとえば Mirai とは様子が違います。脆弱性のある世界中のデバイスをスキャンして無差別に感染しようとはしていません。
Q: VPNFilter による影響が確認されているのは、どんなデバイスですか。
A: 今のところ VPNFilter は、Linksys、MikroTik、Netgear、TP-Link 各社の企業および SOHO 向けルーターと、QNAP の NAS デバイスに感染することが確認されています。該当する製品は、以下のとおりです。
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Cloud Core Router 用の MikroTik RouterOS: バージョン 1016、1036、1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- QTS ソフトウェアを搭載する QNAP のその他 NAS デバイス
- TP-Link R600VPN
Q: VPNFilter は、どのようにデバイスに感染するのですか。
A: 標的となっているデバイスの大半は、資格情報をデフォルトのまま使っているか、バージョンが古いなどセキュリティ上の問題がある、あるいはその両方であることがわかっています。現時点では、VPNFilter の拡散にゼロデイ脆弱性の悪用が関与している兆候はありません。
Q: VPNFilter は、感染したデバイスに対してどんな動作をしますか。
VPNFilter は、複数ステージのモジュールで構成されているマルウェアです。まず、ステージ 1 のモジュールがインストールされ、それを使って侵入先デバイスに永続の足がかりを作ります。また、コマンド & コントロール(C&C)サーバーに接続して次のモジュールをダウンロードします。
ステージ 2 に含まれるのがメインのペイロードで、これにはファイルの収集、コマンドの実行、データの抽出、デバイスの管理といった機能があります。それだけでなく、破壊的な機能も備えているため、攻撃者からコマンドが届くとデバイスが実質的に無力化される恐れもあります。デバイスファームウェアのセクションを上書きして再起動し、使用不能にしてしまうからです。
ステージ 3 では複数のモジュールが確認されており、いずれもステージ 2 のプラグインとして機能します。たとえばバケット盗聴モジュールは、デバイスを通過してルーティングされるトラフィックを探索し、Web サイトの資格情報を盗んだり、SCADA の Modbus プロトコルを監視したりします。ステージ 3 にはそのほか、ステージ 2 のモジュールで Tor による通信を可能にする機能もあります。
Q: 該当するデバイスを使っている場合、どんな対処方法がありますか。
A: 影響を受けるデバイスをお使いの場合は、すぐに再起動してください。VPNFilter に感染している場合、再起動すると、デバイスに存在するステージ 2 とステージ 3 のモジュールが削除されます。これで、VPNFilter の破壊的なコンポーネントはなくなります(少なくとも、一時的には)。ただし、感染している場合にはステージ 1 のモジュールが存在し続けるため、ステージ 2 とステージ 3 が再インストールされる可能性は残ります。
したがって、影響を受けるデバイスに、公開されている最新のパッチを適用し、資格情報をデフォルトのまま使わないようにしてください。
Q: 再起動しても VPNFilter のステージ 1 は存続するということですが、それを削除する方法はありますか。
A: はい、あります。デバイスをハードリセットすると、出荷時設定に戻るので、ステージ 1 も一掃されます。たいていのデバイスでは、小さいリセットボタンを押しながら電源を入れ直すだけです。ただし、ルーターに保存されていた設定や資格情報は、ハードリセットすると消えてしまうので、必ずバックアップをとってからこの操作を実行してください。
Q: VPNFilter の破壊的な機能を使って、攻撃者は何を意図しているのですか。
A: 現時点では、判明していません。ひとつ考えられるのは破壊的な行為が目的であり、そのために大量のデバイスを感染させて無力化しているということです。あるいは、攻撃の証拠を隠すという限定的な目的という可能性も残っています。
謝辞: この脅威に関する情報を、発表に先立って共有してくださった Cisco Talos と Cyber Threat Alliance に、厚くお礼を申し上げます。
更新: Netgear から、ユーザーへのアドバイスがありました。最新のファームウェア更新を適用して、パスワードをデフォルトから変更するだけでなく、ルーターでリモート管理をオフにする必要があるということです。リモート管理はデフォルトではオフであり、オンになっているのはルーターの詳細設定を使った場合だけです。オフにするには、ブラウザで www.routerlogin.net にアクセスし、管理者の資格でログインする必要があります。ログインしたら、[Advanced]、[Remote Management]の順にクリックします。[Turn Remote Management On]のチェックボックスが選択されていたら選択を解除し、[Apply]をクリックして変更を保存してください。
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。