Loading

非常に気づきにくい 相次ぐルーターへの攻撃

ITmedia NEWSより引用
 
3月中旬以降、インターネットに接続するルーターが不正アクセスを受けた事件が相次いで報じられています。
ルーターという組み込み機器が不正アクセスの対象になるのは初めてではありませんが、「ちょっと厄介だな」と思わされる攻撃でした。DNS(Domain Name System)情報の書き換えという、ユーザーには気付きにくい手法を使っているためです。今回は、この問題点を説明したいと思います。
 
今回の攻撃では、スマホからルーターを介してWebサイトにアクセスしようとしても正しいサイトにつながらず、不審なAndroidアプリをインストールさせようとする悪意あるサイトに誘導され、「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します」といった不審なメッセージが表示されたということです。
 
そんなことが可能だったのは、ネットに接続する際に必須のDNS情報が書き換えられてしまったからです。道路の案内表示やカーナビの情報が書き換えられるようなもので、ルーター本体はもちろん、ルーターの情報を参照してネットに接続する全ての端末が、正しい接続先にアクセスしているつもりで全く異なる場所に誘導されてしまいます。

 

 
これらDNSを書き変える攻撃が厄介なのは、ユーザー側がなかなかそれと気付けないことです。
 
一度設定したDNS情報はそう頻繁に変更、確認するものではありません。今回はたまたま、攻撃者が用意した悪意あるサイトに記された日本語が不自然だったり、接続に失敗するといった事象が発生したため、多くのユーザーが異常に気付くことができました。しかし、過去10年でスパムメールやフィッシングメールが本物そっくりになっていったように、誘導文面が洗練され、自然な日本語が使われるようになれば、攻撃に気付くのはさらに難しくなるでしょう。
 
今のところ、現実的な対策は、最初の時点でDNS書き換えを防ぐことに尽きるでしょう。
 
今回のルーターに対する攻撃では、攻撃者がどのようにしてDNS情報を書き変えたのかは明らかになっていませんが、PC向けのファーミングと同様、脆弱性を突いてマルウェアに感染させたか、あるいはパスワードがデフォルトのままなど、管理者アカウントの認証が弱い状況を突かれた可能性が指摘されています。
 
従って、ルーターのファームウェアをアップデートして脆弱性を解消する他、デフォルトのパスワードを変更し、推測されにくい長さを持ったものを用いる、必要ない限り外部から管理インタフェースへのアクセスはブロックするといった、いつも通りの基本的な対策を実施することが重要です。
 
万一ファーミングに引っ掛かってDNS設定が変更された場合でも、SSL(HTTPS)接続が行われているか、Webブラウザがエラーを表示しないかを確認することで、不正なサイトにアクセスする確率を減らすことができるでしょう。
 
ただ、攻撃者が無償の電子証明書発行サービスなどを利用して堂々とサーバ証明書を取得していれば見破るのが困難になりますし、URLやエラーを目視で確認できることが前提です。IoT機器同士が勝手につながり、ユーザーに何も見えない場合の警告方法も検討しなければいけないかもしれません。
 
ITの世界でもIoTの世界でも、私たちは、バックグラウンドで動作するDNSや経路の情報を信頼し、それと意識することなく利用しています。そうでなければこんなに簡単にネットに接続し、その恩恵を受けることなどできなかったでしょう。
 
シンプルで他者を信じる仕組みに基づいてインターネットは運用されており、そこには危うさも潜んでいるのだということを、あらためて認識させられる出来事だったのではないでしょうか。

いいね!を押して最新情報をGET!!

PAGE TOP