ルータのDNS設定情報が書き換えられて不正アプリダウンロード(1)
こんばんは。ルータのDNS設定書き換えによる不正アプリダウンロードに関するニュースがIT系ニュースサイトに限らず、一般メディアでも取り上げられています。こちらはsecurity-nextの記事からです。
DNSサーバの設定値が書き換えられて、不正アプリダウンロードサイトに誘導されるという代物だそうです。誘導後、不正改造されたAndroid向けFacebook拡張ツールバック(facebook.apk)がインストールされるようです。
~詳細はpiyologさんがまとめておられました~
最も詳しくまとめられた記事がこちらにあります。piyologです。piyokangoさんの記事です。
Logitec・Buffalo・NTT東西の機種だということのようです。この記事にもありますように、初期パスワードのまま使っているということが原因の1つになっているとのことです。初期パスワードのまま変更せずに使っている人もそれなりの人数いるということなんでしょうか。「とにかくインターネットに接続したい」というのが前にあるから、初期パスワードのまま動作確認して放置してしまうんでしょうかね。
~初期パスワードの変更は設定完了直後に忘れずに!~
注意したいのは、インターネットへの接続が確認出来た直後に忘れずに初期パスワードは変更するようにしておきたいですよね。こういうことが起きないようにするためには。初期パスワードはマニュアルに記載されていると思われますので、外部からアクセス許可している状態だと簡単にアクセスされてしまいますよね。
ですので、インターネット側から接続する必要性がなければ、インバウンドパケットは拒否する設定にしておくべきですね。
そして、ファームウェアもアップデートのチェックはしておくようにしたいところです。特に今回のような事故が発生した場合は、早急にファームウェアのアップデートは忘れずに実施しましょう。何か起きてからでは遅いですしね。
~DNSサーバのIPアドレス設定時に初期値を確認しておくことが重要です~
今回最も気になったのは、DNSサーバの設定が書き換えられていたことです。FacebookとTwitterとGoogleに関しては正しいIPアドレスを返していたらしいですが、他のサイトはそうではなかったようです。マルウェアダウンロードサイトに誘導するようにクエリを返すようになっていたみたいですね。(他の記事も含めて読んでみた印象です)
DNSサーバが本来設定している値になっているかどうかも確認しておくことも大事ですね。普段意識していないと、DNSサーバのIPアドレスが正しい値かどうかは分かりませんよね。地味な対策ですけど、今一度確認しておくことも忘れないようにしたいですよね。
~家庭用ルータではなかったのかな???~
いろいろ追いかけているうちに、日テレnews24の記事では法人向けルータとありました。各社記事を追っていると、必ずしも法人限定でもないような気はするのですが…。下の記事にはそこまでの内容は書かれていませんでした。もう少し追いかけてみることにします。
(注:どうやらNTT東西のルータが法人向けで、他社が家庭用ということではないかと推測しています。日テレnews24はNTT東西の機器限定なのかと思います。)
いずれにせよ、ルータをはじめとするネットワーク機器は特に、初期パスワードは設定完了後速やかに変更しておくことをおすすめします。(でないと忘れてしまいますしね。(^^;)