JP



JP
BigGo MagBigGoについて採用情報お問い合わせUser Termsヘルプセンター
© 2025 BigGo
インストール
BigGo価格比較ヘルパー
ニュース
テクノロジー
セキュリティ
コンピューターコンポーネント
ネットワークデバイス

数千台の Asus ルーターが高度なボットネット攻撃で侵害される

BigGo Editorial Team
数千台の Asus ルーターが高度なボットネット攻撃で侵害される

世界中で9,000台を超える Asus ルーターが侵害される大規模サイバー攻撃が発生し、セキュリティ研究者らはこの攻撃が高度に洗練された脅威アクターによるものと警告している。この攻撃は、ファームウェア更新やシステム再起動後も残存する永続的なバックドアを確立する高度な技術を利用した、ルーターベースのサイバー犯罪における憂慮すべき拡大を示している。

攻撃の規模と影響

  • 9,000台以上の Asus ルーターが侵害されたことが確認済み
  • Censys インターネットスキャナーデータによると、その数は増加し続けている
  • 3ヶ月間でわずか30回のアクセス試行が観測されており、緩慢で計画的なキャンペーンであることを示している
  • 攻撃は2024年3月18日に GreyNoise によって発見された

高度な攻撃手法がルーターの脆弱性を標的に

サイバー犯罪者らは Asus ルーターへの不正アクセスを獲得するため、多角的なアプローチを採用した。従来のブルートフォースログイン攻撃と高度な認証バイパス技術を組み合わせ、既知および未公開の脆弱性の両方を悪用した。主要な攻撃は CVE-2023-39780 を悪用したもので、これはデバイスへの初期アクセスを獲得した後に任意のシステムコマンドを実行可能にするコマンドインジェクションの欠陥である。

この攻撃を特徴づけるのは、長期的な制御を維持するための攻撃者の体系的なアプローチである。明らかなマルウェアを即座にインストールするのではなく、ルーターの内蔵 SSH 機能を使用して永続的なバックドアの確立に重点を置いた。この隠密なアプローチにより、異常なネットワーク動作に気づかない可能性がある一般ユーザーにとって検出が大幅に困難になっている。

攻撃の技術的詳細

  • 悪用された主要な脆弱性: CVE-2023-39780 (コマンドインジェクションの欠陥)
  • 未公開の追加脆弱性も悪用された
  • ポート 53282 で SSH アクセスが確立された
  • バックドアは不揮発性メモリ( NVRAM )に保存された
  • 検出を回避するためログ機能が無効化された
  • 切り詰められた SSH 公開鍵: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...

永続的なバックドアが標準的なセキュリティ対策を回避

この攻撃の最も懸念すべき側面は、インストールされたバックドアの永続性である。攻撃者らはアクセス機構をルーターの不揮発性メモリ(NVRAM)に保存し、再起動やファームウェア更新などの標準的な修復作業では不正アクセスが除去されないことを確実にした。また、痕跡を隠すためにログ機能を無効化し、ユーザーやセキュリティ専門家による侵害の検出を困難にした。

2024年3月にこの攻撃を発見したセキュリティ企業 GreyNoise は、攻撃者らが特定の切り詰められた公開鍵を使用してポート53282経由で SSH アクセスを確立したことを観察した。3か月間にわたって目撃されたアクセス試行回数が比較的少ないことは、この作戦が慎重かつ静かに進行していることを示唆しており、即座の金銭的利益よりも長期的な戦略目標と一致している。

国家関与の疑い

攻撃の洗練度と体系的な性質により、セキュリティ研究者らは高度持続的脅威(APT)アクター、潜在的には国家支援作戦との関連を疑っている。GreyNoise は敵対者を十分な資源を持つ高度に有能な存在と評し、その戦術が政府支援ハッキンググループによって使用される運用中継ボックス(ORB)ネットワークで典型的に採用されるものと一致していると指摘した。

具体的な帰属は行われていないが、このような攻撃は歴史的に中国、ロシア、北朝鮮、イランなどの国々からのサイバー作戦と関連付けられてきた。侵害されたデバイスの分散ネットワーク構築への焦点は、攻撃者らが即座の金銭的利益を求めるのではなく、将来の大規模作戦のための基盤を築いていることを示唆している。

ルーター所有者に即座の対応が必要

Asus ルーター所有者は、ルーターの管理パネルで SSH 設定を確認することで、デバイスの侵害の兆候を直ちにチェックすべきである。侵害されたデバイスでは、ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ... で始まる特定の切り詰められた公開鍵でポート53282上で SSH が有効になっていることが表示される。

侵害されていないルーターについては、最新のファームウェアに更新することで CVE-2023-39780 脆弱性に対する保護が提供される。しかし、既に侵害されたデバイスにはより広範囲な修復が必要である。ユーザーは悪意のある SSH エントリを手動で削除または無効化し、特定された4つのコマンド・アンド・コントロール IP アドレス(101.99.91.151、101.99.94.173、79.141.163.179、111.90.146.237)をブロックしなければならない。

** Asus ルーター所有者向けの修復手順**

  1. 不正アクセスがないかルーター管理パネルの SSH 設定を確認する
  2. デバイスが侵害されていない場合は直ちにファームウェアを更新する
  3. 侵害されている場合は悪意のある SSH エントリを削除/無効化する
  4. 特定された4つの悪意のある IP アドレスをブロックする
  5. 侵害されたデバイスに対して工場出荷時設定へのリセットと手動再設定を実行する
  6. 強力で固有の管理者パスワードを使用する
  7. 必要でない場合はリモート管理を無効化する

侵害されたデバイスには工場出荷時設定へのリセットを推奨

既に侵害されたルーターについて、Asus はバックドアの痕跡が確実に残らないよう、完全な工場出荷時設定へのリセット後に手動再設定を実行することを推奨している。バックドアの永続的な性質により標準的なファームウェア更新では除去できないため、このより抜本的な手順が必要である。

この事件は、家庭および企業ネットワークを保護する上でのルーターセキュリティの重要性を厳しく思い起こさせるものである。定期的なファームウェア更新、強力な管理パスワード、ネットワークデバイスの定期的なセキュリティ監査は、ますます接続が進む世界でサイバーセキュリティを維持するための必須の実践である。

関連ニュース