　2018年5月21日にはカスペルスキーが、ルーターをターゲットにした「Roaming Mantis」の拡散が、4月の公表以降も続いていると指摘し、あらためて注意を呼び掛けました。このマルウェアは、ルーターに感染するとDNS情報を書き換え、それを介してインターネットに接続しようとするユーザーに、悪意あるAndroidアプリをダウンロードさせようとします。

カスペルスキーによる、Roaming Mantisの悪意あるファイルの検知数（5月1～10日）。4月と比べると韓国、バングラデシュ、日本での検知数は下がったが、ロシア、ウクライナ、インドでの検知数が増加した＝カスペルスキーのWebサイトより

　存在が指摘された当初、Roaming Mantisの対応言語は韓国語、中国語、日本語、英語の4種類のみで、韓国やバングラデシュ、日本のユーザーが主なターゲットでした。しかしその後も攻撃は進化を続けており、対応言語は今ではポーランド語やドイツ語、アラビア語など27言語に拡大し、攻撃対象が広がっているそうです。

　機能自体も「拡張」しています。Android向けマルウェアだけでなく、iOSデバイスであることを検知するとAppleをかたったフィッシングサイトに転送したり、誘導先のWebページに、被害者PCのリソースを利用して仮想通貨のマイニングを行わせるコインマイナーを用意したりと、定番の手口を組み合わせているようです。

Roaming Mantisの攻撃の経緯＝カスペルスキーのWebサイトより

　カスペルスキーによると、Roaming Mantisが脆弱なルーターに侵入する手法も、また継続して進化・拡大している理由も、残念ながらまだ明らかではありません。過去には、攻撃コードがツール化して手軽に入手できるようになり、攻撃がまん延したケースもありましたが、そういう状況を指し示す証拠は見つかっていないそうです。

　いずれにせよ、報道は下火になった一方で、攻撃そのものは終息するどころかむしろ拡大し続けている点に注意が必要でしょう。ルーターのDNS設定が改ざんされていないかを確認するとともに、管理者用WebページのID・パスワードをデフォルトのものから変更し、ファームウェアを定期的にアップデートすること、そして必要ない限りインターネット側から管理用Webページにアクセスできないよう設定することを推奨しています。

モジュール式を採用したマルウェア「VPNFilter」はなぜ厄介か

　一方、Cisco Talosは5月23日、ルーターやNASといったデバイスに感染するマルウェア「VPNFilter」に対する注意を呼び掛けました。LinuxやBusyboxをベースにしたファームウェアが動作する機器に感染し、当該ルーターを経由してアクセスするユーザーの情報を盗み見るマルウェアです。

「VPNFilter」はなぜ厄介か

　　　　　　 1|2 次のページへ