ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

相次ぐルーターへの攻撃、厄介なのは「気付きにくい」ことITの過去から紡ぐIoTセキュリティ(2/4 ページ)

» 2018年04月06日 07時00分 公開
[高橋睦美ITmedia]

 典型的なファーミングでは、PCに存在する脆弱性を突いたり、添付ファイルをクリックさせたりしてマルウェア(トロイの木馬)を実行させ、DNS情報を書き変えます。もし手元にWindows PCがあれば、システムフォルダの下に「hosts」というファイルがあると思います。これはIPアドレスとドメイン名をひも付ける情報を記したもので、DNSサーバによる名前解決よりも優先される仕組みです。2005年ごろからPCの世界で広がったファーミングでは、マルウェアがこのファイルの情報を変更し、ユーザーを偽のサイトに誘導するケースが散見されました。

photo 3月中旬から相次ぐ攻撃では、不正サイトを通じて不正アプリを強制ダウンロードさせ、ユーザーが入力したアカウント情報を盗み取る狙いがあるとみられる。画像は不正アプリの例=情報通信研究機構(NICT)提供

 そして、ファーミングが登場してからそれほど時を置かずに、ルーターのDNS設定を書き変え、悪意あるサイトに誘導する手法も生まれていました。「ドライブバイ・ファーミング」と呼ばれ、ユーザーに悪意あるスクリプトを実行させることでルーターのDNS情報を書き変えるという手口です。15年にはトレンドマイクロが「DNSチェンジャー」、17年にはカスペルスキーが「Switcher」というトロイの木馬について注意喚起しています。いずれも、感染したPCやAndroid端末が、内側からルーターに不正アクセスし、不正なDNSサーバに問い合わせを行うよう設定を書き換える手口です。

 こうしてDNS情報を書き変えたり、悪意あるDNSサーバに誘導できる状態を作ってしまえば、あとは攻撃者の意図次第。誘導先のサイトを介して不正送金など他のマルウェアに感染させたり、フィッシングサイトを用意してアカウント情報を盗み取ったりと、さまざまな悪用方法が考えられます。今回の攻撃のように正規ソフトウェアのアップデートを装ってマルウェアに感染させるサプライチェーン攻撃が行われるかもしれませんし、仮想通貨のマイニング(採掘)を行わせたりするかもしれません。

 これらDNSを書き変える攻撃が厄介なのは、ユーザー側がなかなかそれと気付けないことです。

Copyright © ITmedia, Inc. All Rights Reserved.