Ciscoのルータに潜伏するマルウェア、感染先は19カ国に拡大

研究チームが調べた結果、世界19カ国の79台で、「SYNful Knock」と一致する挙動が見つかった。

[鈴木聖子，ITmedia]

　Ciscoのルータに潜伏するマルウェア「SYNful Knock」が発見された問題で、同マルウェアの感染は少なくとも世界19カ国の79台に広がっていることが分かったとして、米ミシガン大学などの研究チームが調査結果を発表した。

　SYNful Knockは、Ciscoファームウェアの改ざんされたバージョンを利用してルータにアクセスし、様々な機能を持つモジュールを仕込むマルウェア。セキュリティ企業のFireEyeは9月15日のブログで、インドなど4カ国で少なくとも14件、SYNful Knockが仕込まれたCiscoルータを確認したと伝えていた。

正規のパスワードとバックドアのパスワードによる認証では微妙な違いしかなく、分かりづらいという（FireEyeブログより）

　この報告を受けてミシガン大学やカリフォルニア大学バークリー校などの研究チームは、オープンソースのネットワークスキャナ「ZMap」を使って感染サーバを探し出す方法で、9月15日までにパブリックIPv4アドレススペース上で4回のスキャンを実施した。その結果、19カ国にある79台のホストで、SYNful Knockと一致する挙動が見つかったという。

「SYNful Knock」の感染状況（米大学チームの調査から）

　このうち米国で発見された25台は全て、東海岸にある特定のサービスプロバイダーのものだったことが分かった。また、ドイツとレバノンのホストは、アフリカをカバーする特定の衛星プロバイダーのものだった。

　研究チームは今後も調査を継続し、影響を受ける組織には連絡を取ると説明している。