ニュース
» 2015年09月18日 06時58分 UPDATE

Ciscoのルータに潜伏するマルウェア、感染先は19カ国に拡大

研究チームが調べた結果、世界19カ国の79台で、「SYNful Knock」と一致する挙動が見つかった。

[鈴木聖子,ITmedia]

 Ciscoのルータに潜伏するマルウェア「SYNful Knock」が発見された問題で、同マルウェアの感染は少なくとも世界19カ国の79台に広がっていることが分かったとして、米ミシガン大学などの研究チームが調査結果を発表した。

 SYNful Knockは、Ciscoファームウェアの改ざんされたバージョンを利用してルータにアクセスし、様々な機能を持つモジュールを仕込むマルウェア。セキュリティ企業のFireEyeは9月15日のブログで、インドなど4カ国で少なくとも14件、SYNful Knockが仕込まれたCiscoルータを確認したと伝えていた。

fyey01.jpg 正規のパスワードとバックドアのパスワードによる認証では微妙な違いしかなく、分かりづらいという(FireEyeブログより)

 この報告を受けてミシガン大学やカリフォルニア大学バークリー校などの研究チームは、オープンソースのネットワークスキャナ「ZMap」を使って感染サーバを探し出す方法で、9月15日までにパブリックIPv4アドレススペース上で4回のスキャンを実施した。その結果、19カ国にある79台のホストで、SYNful Knockと一致する挙動が見つかったという。

malcis01.jpg 「SYNful Knock」の感染状況(米大学チームの調査から)

 このうち米国で発見された25台は全て、東海岸にある特定のサービスプロバイダーのものだったことが分かった。また、ドイツとレバノンのホストは、アフリカをカバーする特定の衛星プロバイダーのものだった。

 研究チームは今後も調査を継続し、影響を受ける組織には連絡を取ると説明している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ