Ciscoルータに潜伏するマルウェア、4カ国で感染確認

ルータに「インプラント」を仕込む手口はこれまで理論上は指摘されていたものの、それが現実になったとFireEyeは解説し、今後この手口が横行する可能性は大きいと予測している。

[鈴木聖子，ITmedia]

　CiscoのIOSデバイスを狙った進化型の攻撃が報告された問題で、セキュリティ企業のFireEyeは9月15日、世界4カ国で少なくとも14件、Ciscoのルータにこの手口を使ったマルウェアが仕込まれていたことを確認したと発表した。

　ルータに「インプラント」を仕込む手口はこれまで理論上は指摘されていたものの、それが現実になったとFireEyeは解説。今回Ciscoのルータから見つかったインプラントを「SYNful Knock」と命名した。

　FireEyeのブログによると、SYNful Knockはルータのファームウェアイメージを密かに改ざんする手口を使って被害者のネットワーク内部に潜伏する。攻撃者はこのイメージを利用してさまざまな機能を持つモジュールをインターネットから仕込むことができ、いったん仕込んだモジュールを更新したり、秘密のバックドアパスワードを使って無制限にアクセスしたりすることも可能だという。

正規のパスワードとバックドアのパスワードによる認証では微妙な違いしかなく、分かりづらいという（FireEyeブログより）

　SYNful Knockは改ざんされたCisco IOSイメージの中に常駐し、システムを再起動した後も潜伏し続ける。非標準型のパケットを使っていることから検出は難しい。一方、攻撃者が仕込むモジュールはルータの揮発性メモリ内にのみ存在していて、再起動後は利用できなくなるという。

　感染経路は、ゼロデイの脆弱性を突く手口ではなく、攻撃者がデフォルトのパスワードを入手するか、何らかの手段でパスワードを見つけ出して利用する手口で、バックドアを仕込んだと思われる。

　もしネットワーク上にSYNful Knockが見つかった場合、他のシステムが侵入されている公算は大きいとFireEyeは指摘する。攻撃者がこれを踏み台にしてマルウェアを増殖させたり、他のホストや重要データに不正アクセスしたりすることも可能だという。

　感染が確認されているのはCisco 1841、2811、3825の各ルータ。ただし他のルータも影響を受ける可能性が大きい。これまでにSYNful Knockが見つかったのはウクライナ、フィリピン、メキシコ、インドの4カ国だが、この攻撃の発生が確認されたことを受け、今後横行する可能性が大きいと同社は予想する。

　Ciscoは8月11日のセキュリティ情報で、同社のIOSデバイスを狙った進化型の攻撃が発生したと伝えていたが、FireEyEの発表を受けて9月15日のブログで改めて注意を喚起。SYNful Knockを使った攻撃の検出を支援するため、Ciscoのセキュリティ部門Talosが「Snort Rule SID:36054」を公開したことも明らかにした。

Ciscoが推奨するネットワーク機器のセキュリティ対策方法