WiFi ルータのパスワードを変更しておいたほうが良い理由

ちょっと気になる記事を見つけましたのでご紹介します。

ウイルス対策ソフトで有名なカスペルスキーラボのブログ記事で、Androidユーザを狙った新種のマルウェアが発見されたというものです。

• Switcher: Android joins the ‘attack-the-router’ club – Securelist (英語)
  ※google翻訳はここをクリック(日本語)
  ※2017/06/13追記：リンク先のアドレスが変更されていましたので修正しました

どんな特徴があるの?

特徴をかいつまんでご紹介します。

• Androidに感染するマルウェアですが、Android端末の中で悪さをするものではないようです。
• Android端末が接続されているWiFi(無線LAN)ルータなど、ルータ機器の設定画面を探し出し、DNSサーバを書き換えることで詐欺サイトに誘導します。
• 現在のところは中国語の百度(Baidu。googleのような中国の検索エンジン)用のアプリ、あるいは中国語のWiFi情報共有のアプリに見せかけたものが出回っているようです。

攻撃の方法は?

具体的な攻撃の手口としては以下のようになっているようです。

1. 端末のデフォルトゲートウェイ(家庭など多くの場合、インターネットに出ていくときの出口にあたるWiFIルータなど)のIPアドレスを取得します。
2. そのIPアドレスに対してWeb接続しようとします。(通常Web画面でルータの設定が変更できるような仕組みがあるからです)
3. Web接続するときにユーザ名とパスワードを辞書攻撃の形で入力し、認証を突破します。
4. WAN側のDNS設定を、偽物(攻撃者)のDNSサーバのIPアドレスに変更します。
5. 以降、LAN側につながっている端末からインターネット接続する場合、偽物のDNSサーバを使うことになります。

わかりやすい場合、この時点で正常に接続できない、あるいは攻撃者が用意したWebサイトなどが表示される可能性があります。また、インターネットで送受信しようとするデータがすべて攻撃者に筒抜けになる可能性があります。

なぜそうなるの?何が困るの?

例えば、あなたがgoogleで検索しようとする場合、以下のような処理が行われています。

1. ブラウザのアドレス欄に「http://www.google.co.jp/」と入力します。
2. ところが端末は、www.google.co.jpというアドレスのままでは、googleのサーバと通信できません。そこで、DNSサーバに www.google.co.jpのIPアドレスを尋ねる必要があります。
3. 端末は通常、DHCPサーバから端末自身のIPアドレスと共にDNSサーバのIPアドレスも取得しています(多くの場合、WiFiルータなどがそれにあたります。例えば192.168.0.1など)。
4. そこで、DNSサーバ(≒ルータ)に、www.google.co.jpのアドレスを尋ねます。
5. ところがルータ(as DNSサーバ)もそのアドレスを知りません。ルータは、ルータ自身の設定に書いてあるDNSサーバ(多くの場合接続しているプロバイダのDNSサーバ)に、www.google.co.jpのアドレスを尋ねに行きます。
6. プロバイダのDNSサーバは、www.google.co.jpのIPアドレス(172.217.25.99)を返します。
7. ルータはそれを受け取り、端末に対してwww.google.co.jpのIPアドレスを返します。
8. 端末は、返ってきたIPアドレス(172.217.25.99)に対して、Web接続を試みます。

という感じになります。

ところが、今回のマルウェアは感染後ルータの設定のうち、DNSサーバのアドレスを書き換えてしまうので、5.の段階で偽物(攻撃者)が用意したDNSサーバに対してアドレスを尋ねに行きます。

そうすると、6.で返ってくるIPアドレスが本物ではない(例えば10.10.10.10とか)アドレスが返ってきて、8.で端末はその本物ではないアドレスに対して接続しようとしてしまうのです。

接続した先がどんなサーバになるかは全く分かりません。悪意をもって仕掛けられていれば、そこからまた変なマルウェアに感染したり、情報を抜かれたりといろんなことが考えられます。

どうしたら良い?

• ルータ(WiFiルータなど)の管理者パスワードが出荷時のままであれば、今すぐ設定あるいは変更しましょう。(国内だとNEC以外はほぼ該当するはず…)
• パスワードが簡単な文字・数字になっている場合は、より複雑なものに変えましょう。特に、先ほどの記事中に掲載されていたもの(例えば000000とか12345678とかadminとか…)にしている場合は、必ず変更してください。
• パスワードは英大文字・小文字・数字を混ぜたもの、機種によっては記号も混ぜることもできます。種類を混ぜるほど、また文字数が長くなるほどセキュリティは強くなります。また辞書攻撃を防ぐため、できるだけ人名地名など辞書に載っているような単語をそのまま使うのは避けましょう。

この対策は、ルータに限らず各種サービスのパスワードを決める場合でも同じことです。なお各種サービスのパスワードの場合、メールアドレスと同じ単語は使わないとか、生年月日などの個人情報にまつわる文字数字を使わないなど、より慎重に決めたほうがよろしいかと思います。

(2017/12/25追記)

ロジテック社のWiFiルータはファームウェア更新を！

無線LANルータつながりで、重要なお知らせです。

ロジテック社の無線ルータがウイルスに感染し、不正攻撃の踏み台にされているという事例が急増しています。

警察庁など公的機関や団体からも注意を呼び掛けていますが、対応方法がわからない方も多いかと思います。

ファームウェア更新を実際に行ってみましたので、該当するルータの方はご参照いただければ幸いです。

ケーブルテレビ(CATV) よくある？かもしれない質問・FAQ

 

1 post

(事例紹介) Logitec社のルータが乗っ取られ、大量に不正な通信をされていた話 - ケ...

https://catvfaq.net/archives/938

WiFiルータのファームウェアを更新しないとどうなるか、という事例です。 今回作業を行ったロジテック社のルータは、以前から脆弱性が発見されており、ファームウェアの更新が推奨されていた機種です。そのままにしておいたところ見事に乗っ取られ、外部に不正な通信を行っていたようです。 持ち主はパソコンに詳しくなく、ファームウェアの更新方法がわからないとのことでしたので、代わりに更新してみました。 更新するときの手順を画面写真付きで掲載していますので、やり方がわからない方は是非参考になさってください。 また警察...

ご覧いただきありがとうございました

★このページが役にたった！という方は、ぜひシェアをお願いします。
また、その他インターネット・ケーブルテレビ等に関する疑問があればこちらのページよりお送りください。私でわかる範囲であればお答えいたします。