マルウェア
不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生
この 3 月中旬ころから、ルータを侵害して DNS を書き換え、ルータ配下の端末を不正サイトへ誘導して Android 向け不正アプリを強制的にダウンロードさせる攻撃が国内で発生していることを確認しました。攻撃手法の全貌については確認中ですが、当社として確認できている実際の被害について本ブログ記事において注意喚起します。
トレンドマイクロでは、日夜多くのサイバー攻撃を監視しています。その監視の中で、この 3 月中旬ころから、ルータを侵害して DNS を書き換え、ルータ配下の端末を不正サイトへ誘導して Android 向け不正アプリを強制的にダウンロードさせる攻撃が国内で発生していることを確認しました。トレンドマイクロとしては現時点で侵害されたルータ自体の調査が行えておらず、攻撃手法の全貌については確認できておりませんが、当社として確認できている実際の被害について本ブログ記事において注意喚起します。
図1:Android OS で今回確認された攻撃で誘導される不正サイトにアクセスした場合の表示例
■不正サイトへの名前解決により、Android 向け不正プログラムを配布
攻撃の被害者にとって、今回確認された攻撃の発端は、Android 端末から Web にアクセスした際に上記のような「Facebook拡張ツールバッグ~」のメッセージが表示されることです。この特徴的な「Facebook拡張ツールバッグ~」の文字列を元に SNS やネット上を調査したところ、国内では 3 月 17 日以降に被害を訴える書き込みが確認されました。 この表示のあと OK ボタンを押すと、Android 向け不正アプリである APK ファイルがダウンロードされインストールが開始されます。
図2:今回確認された攻撃で頒布される不正アプリのインストール画面例
これはルータの DNS 設定が書き換えられていることにより、攻撃者が用意したとみられる不正 DNS サーバが名前解決に使用されてしまうことから起こります。
この不正 DNS サーバは URL を特定の不正サイトの IP アドレスに名前解決するため、正規サイトの URL にアクセスしたつもりでも結果的に不正サイトへ誘導され、不正アプリのダウンロードを強制させられます。不正 DNS サーバと不正アプリのダウンロードサイトは台湾の IP アドレス上のホストに構築されていますが、本記事執筆時点で確認済みのダウンロードサイトはアクセス不能であり、不正アプリがダウンロードされる危険はありません。ただし、DNS サーバには稼働中のものもあり、また新たなダウンロードサイトが用意される可能性もありますので引き続き注意が必要です。
この攻撃によりダウンロードされる不正アプリについて、トレンドマイクロでは情報窃取型の不正アプリ「AndroidOS_SmsSpy」であることを確認しています。表示されるメッセージでは、この不正アプリは「Facebook 拡張ツールバッグ」を偽装しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」の解析によれば、不正アプリの APK ファイルは Facebook の正規アプリである「com.facebook.katana」をリパックしたものでした。このような正規アプリをリパックし不正アプリ化する手口は、Android 向け不正アプリでは常套手段となっています。
この不正アプリはインストール後に実行されると、デバイス管理者の権限を要求します。現在では多くの不正アプリがこの管理者権限を要求するため、このような表示があった場合には安易に「有効にする」を選択せず、アプリの正当性を確認してください。
図3:今回の不正アプリによるデバイス管理者権限の要求画面例
また、この不正アプリのダウンロードページを解析したところ、アクセスした端末の OS と言語設定を判定し、ハングル語、中国語(繁体字、簡体字)、日本語、英語でのメッセージ表示に対応していることがわかりました。表示に対応する言語から、この攻撃は特にアジア圏を狙った攻撃であるものと推測できます。
図4:今回の攻撃で確認された不正サイトのソースコード例
Android 端末の場合に設定言語を判定し、メッセージの言語を変化させていることがわかる
■推測されるルータの侵害手法
この攻撃ではルータを侵害し、DNS設定を書き換えることにより、正規サイトの URL にアクセスしようとした際にも不正サイトの IP に名前解決することによって、強制的に利用者を用意した不正サイトにアクセスさせることを実現しています。トレンドマイクロ SPN による統計では、誘導先の不正サイトの IP に対し、3 月 26 日以降だけで 150 件以上のアクセスを確認しています。大規模な被害が発生しているとは言い難いですが、確実に影響を受けている環境があることは確かなようです。
DNS 設定の書き換えを行う攻撃としては、2012 年ころに「DNS Changer」による大規模な被害が発生し、不正 DNS サーバのテイクダウンや感染被害者を救済するための代替 DNS サーバの運用が行われました。また今回同様のルータの DNS 設定を書き換える攻撃については、2014 年や 2015 年にも確認されています。このうち 2015 年の事例では、ルータ配下のネットワークに参加している PC を経由してルータの管理機能に不正ログインし DNS 設定を書き換える手法であったことが確認されています。また現在では「MIRAI」に代表される IoT ボットの攻撃の中で、インターネット側からルータの脆弱性や脆弱な認証情報を利用した侵害の手法も確認されています。今回確認された攻撃において、どのような方法でルータが侵害を受けたかについて現時点では確認できていませんが、トレンドマイクロでは引き続き調査を行ってまいります。
■被害に遭わないためには
ルータが侵害を受ける可能性は大きく分けて2つあります。1 つはルータ自体の脆弱性を利用した攻撃、もう 1 つはルータの管理機能に設定された脆弱な認証情報を突破して不正ログインし、機器を乗っ取る攻撃です。一般利用者としては、ルータのファームウェアを常に最新にする、また初期設定のパスワードや推測しやすい簡単なパスワードなどの脆弱な認証情報の使用を見直すことにより、これらの攻撃を防ぐことが可能です。特に、インターネット側からもルータの管理機能にアクセス可能な場合は、攻撃を受ける危険性が高まります。インターネット側からの管理機能へのアクセスが不要な場合には、LAN 側からのみアクセスできるよう設定することも重要です。
また、今回の攻撃に関するものとみられる注意喚起が NTT 東日本などから出ておりますので参照ください。
今後、同様に LAN 内からインターネットへのアクセスで異常が発生した場合、ルータの DNS 設定を確認してください。特定の IP アドレスが指定されていた場合には初期設定に戻すことによって復旧可能ですが、何らかの攻撃によりルータ自体が侵害されていることが考えられます。ルータのファームウェアを最新にすると同時に、推測されにくい複雑なパスワードを再設定するなどセキュリティの強化を行うことを推奨します。
■トレンドマイクロの対策
Android 向け不正アプリについては、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network™(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術により検出を行います。今回の攻撃で最終的に侵入する Android 向け不正アプリについて、トレンドマイクロでは「AndroidOS_SmsSpy」などの名称で検出対応しています。また、不正アプリを頒布する不正サイトについては「Webレピュテーション(WRS)」技術によりブロックに対応しています。トレンドマイクロではモバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスター™ モバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品では MAR 技術や WRS 技術により利用者を脅威から保護します。
インターネットからのルータへの攻撃に関してはルータ自体に脅威対策機能を持つことが必要です。トレンドマイクロが提供する「Trend Micro Smart Home Network™」を実装したルータであれば、インターネットから、もしくは LAM 内に存在する侵害された機器によるルータ自体への攻撃を検知し、保護することが可能です。ホームネットワークセキュリティ製品である「ウイルスバスター for Home Network」では、ルータとそれに接続している機器間の通信をチェックし、ホームネットワーク内の侵害された機器によるルータへの攻撃を検知し、保護することが可能です。
※調査協力:秋保 陽介(日本リージョナルトレンドラボ)、林憲明(シニアスレットリサーチャー)