2018年5月31日木曜日

モジュール式を採用したマルウェア「VPNFilter」はなぜ厄介か

 Cisco Talosは5月23日、ルーターやNASといったデバイスに感染するマルウェア「VPNFilter」に対する注意を呼び掛けました。LinuxやBusyboxをベースにしたファームウェアが動作する機器に感染し、当該ルーターを経由してアクセスするユーザーの情報を盗み見るマルウェアです。

 感染原因についてはまだ不明ですが、デフォルト設定のままの認証情報を用いたか、あるいは既知の脆弱性が悪用された可能性が指摘されています。少なくともQNAP、Linksys、MikroTik、NETGEAR、TP-Linkの製品で感染が確認されており、Taolsによると、ウクライナを中心に54カ国で50万台に上る機器が感染したといいます。感染した機器はbotネットを形成し、攻撃者が操るC2サーバの指令に従う形です。

 TalosやSymantecが分析結果を公開していますが、VPNFilterは「モジュール式」のマルウェアで、3つの段階を経て情報窃取を行います。

 第1段階は、攻撃に必要なモジュールをC2サーバから継続的にダウンロードするための設定で、いわば「ダウンローダー」「バックドア」的な役割を果たすものといえるでしょう。第2段階で感染したマルウェアによって、デバイス管理情報などの窃取などが行われます。

 そしてさらに別のモジュールをダウンロードしてくるのが第3段階で、通信内容を盗聴するスニファーやTor通信モジュールといった拡張機能が加わります。中には、IT機器だけでなく、制御システムを構成するPLC(Programmable Logic Controller)のコントロールに用いられる通信プロトコル「Modbus」を監視するコンポーネントが含まれているとの報告もあります。

 もう1つ厄介なのは、再起動すれば第2段階のマルウェアまでは消去されるのですが、第1段階のマルウェアは再起動後も残っていることです。これまでのIoTデバイスをターゲットにしたマルウェアとは異なり、再起動だけでは根本的な再感染の防止が困難なのです。Talosをはじめとするセキュリティ企業は、機器を工場出荷状態にリセットして再起動し、ファームウェアを最新のバージョンにアップデートすることを推奨しています。

 その危険性を鑑み、米FBIはC2サーバの停止措置(テイクダウン)を実施したと発表しています。

 だからといって、これで事態は収束する、と考えるのは楽観的に過ぎるかもしれません。過去のITシステムへの攻撃では、モグラたたきのように、あるドメインが差し押さえられても異なるドメイン、異なるIPアドレスを用いて、botによる攻撃が継続したケースがあります。VPNFilterについても、「第一報」の波が収まった後も継続してウォッチしておく必要がありそうです。

 Roaming Mantisのケースもそうですが、デフォルトパスワード設定の変更とファームウェアのアップデート、よほど必要がない限り外部からのアクセスを制限する、といった基本的な対策を徹底することが引き続き重要でしょう。

0 件のコメント:

コメントを投稿