高度なマルウェア「VPNFilter」、54カ国で感染拡大 一斉攻撃の恐れも

感染したデバイスに対して「kill」コマンドが実行されれば、大量のルータが同時に使用不能に陥る恐れもある。

» 2018年05月24日 10時15分 公開
[鈴木聖子ITmedia]

 米Ciscoのセキュリティ部門Talosは5月23日、国家の関与が疑われる高度なモジュール式マルウェア「VPNFilter」が、世界54カ国で50万台以上のルータなどに感染を広げていると報告した。一斉攻撃を仕掛けられれば大量のルータが同時に使用不能に陥る恐れもあるとして、警戒を呼び掛けている。

 Ciscoによると、VPNFilterの感染が確認されているのはLinksys、MikroTik、NETGEAR、TP-LinkのSOHO向けネットワーキングデバイスと、QNAPのNASデバイス。同マルウェアにWebサイトの認証情報を盗んだり、産業制御装置(SCADA)用通信プロトコルのModbusを監視したりするコンポーネントが含まれている点は、特に憂慮されるとしている。

 さらに、感染したデバイスに対して「kill」コマンドを実行すれば、使用不能に陥れることも可能とされる。もしもこのコマンドを一斉に実行されれば、世界中で何十万台ものデバイスがインターネットに接続できなくなる恐れもある。

photo VPNFilterの仕組み(出典:Talos)

 標的とされているデバイスは、侵入を検知できるシステムがなく、一般的にはウイルス対策製品のようなホストベースの保護システムも利用できない。しかも、そうしたデバイスのほとんどは、既知の脆弱性が放置されていることも多く、デフォルトの認証情報が知れわたっているなどの問題があり、比較的簡単にマルウェアに感染させることができるという。そうした条件が重なって、VPNFilterは少なくとも2016年から、密かに感染を広げていたとTalosは分析する。

 特にウクライナでは、5月8日から感染デバイスの激増が観測されており、同国に対する差し迫った攻撃の恐れがあるとTalosは指摘。VPNFilterのコードは、過去にウクライナに対する大規模攻撃に使われたマルウェア「BlackEnergy」と重複する部分があり、その高度な機能などから、国家の関与が疑われると推定している。

 Talosでは、影響を受けるデバイスの一覧や、マルウェアの特徴などを公開して、、そうしたデバイスを使っているユーザーなどに対応を促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ