BUFFALLO_Virus

あなたのWi-Fiルーターが狙われている?

  • このエントリーをはてなブックマークに追加

by [2014年6月09日]

スマートフォンにせよ、ノートパソコンにせよ、はたまた携帯用ゲーム機にせよ、Wi-Fi通信を行う機器であればどんな機器であれ、通信を行うのに無線LANルーター(Wi-Fiルーター)は欠かせません。

家庭内やオフィス内、喫茶店や飲食店、駅構内などの公共施設、あるいはバスや電車の車内など、近年この種の通信機器は爆発的と言ってよいハイペースで日本中に普及しつつあります。

そんな日常生活に必要不可欠の機器と化しつつある無線LANルーターですが、このほどそんな無線LANルーターメーカーの大手であるバッファローから、同社製無線LANルーターの最新版ファームウェアを配布する公式ダウンロードサイトが5月27日に改ざんされ、配布ファイルにウィルスが混入されていたことが発表されました。

幸いなことに、と言うべきか改ざんの内容が単に通常の配布ファイルにウィルスが混入されただけ、それも実行したら中国語の画面が出る、という至ってお粗末な代物であったためすぐに発覚し大事にはなりませんでしたが、一部報道では無線LANルーターのファームウェアそのものが改ざんされた、という誤解もあったりして結構な騒ぎになったようです。

そこで今回は、無線LANルーターとウィルス感染について考えてみたいと思います。

今回の改ざんで影響を受けるのはパソコンだけ

まず、誤解があるようなので最初にお断りしておくと、バッファロー自身の6/5付続報でも強調されていますが、今回改ざんされたファイルを誤って実行して影響を受けるのはパソコンだけです。

しかも5月27日6時16分~13時までの短時間で発覚・対処されたため、この間に当該ファイルをダウンロードし直接感染の可能性のあるパソコンの台数は856台にとどまる由で、この種の改ざん攻撃としては比較的被害規模の小さい部類に入ります。

Symantec社による「Infostealer.Bankeiya.B」の解説ページ
「危険度1:ほとんど影響なし」としており、このウィルス単体での実害は事実上皆無に近かったと考えられる。

ちなみにウィルスのタイプは「Infostealer.Bankeiya.B」と呼ばれるもので、感染するとバックドアを作成してDLL(Dynamic Link Library:動的リンクライブラリ)ファイルをあるサイトの下から勝手にダウンロードしてきて実行し、オンラインバンキングを監視してログインが行われるとそのログインIDと暗証番号を盗み取り、別のあるサイトに送信するという動作を行います。

DLLファイルをダウンロードして実行、という段階でお気づきの方も多いと思いますが、このウィルスが感染するのはMicrosoft Windows XP・Vista・7の3種(64ビット版も含む。なお、Windows 8・8.1は感染しないようです)のOSがインストールされたマシンに限られます。

また、事態の発覚後連絡を受けた各アンチウィルスソフトメーカーが迅速に対応を行った(※そのためウィルスの感染検出・駆除共に可能です)ことから、実害はほとんど無かったと考えられています。

そもそも、元々配布されていたファイル自体がパソコン上で解凍・実行の上で適用するタイプのものだったのですから当然と言えば当然なのですが、Android搭載端末やiOS搭載端末ではこれらのファイルを実行することができないため、基本的にこれらのOSを搭載する端末がこのウィルスに感染することはあり得ません。

また、この感染メカニズムでも明らかなように、配布アップデートファイルの適用対象となる無線LANルーターなどが感染しウィルス媒介などの踏み台にされる危険性も、少なくとも今回のウィルスに限ればあり得ません。

ルーターのファームウェアそのものが
感染させられる可能性は低いが…

さて、今回、一部誤報にもなりましたが、怖いのは気づかないままにルーターのファームウェアが改ざんされ、バックドアを設けられて情報を抜き取り放題にされてしまうことです。

結論から言うと、現在市販されている無線LANルーターのファームウェアが改ざんされてしまう可能性は、かなり低いと考えられます。

そもそもファームウェアって何ぞ? という方もおられるかと思いますが、これは要するにルーターをルーターとして機能させるためのOSとアプリに相当する基本プログラムのことです。

このファームウェアは今の製品では(後々のアップデートを考慮して)ほぼ例外なくルーター本体に内蔵されたFLASHメモリに格納してあります。

つまり、これ自体は理屈として書き換え可能=改ざん可能なのですが、そもそもそのファームウェアを格納するFLASHメモリの容量が非常に小さい(※例えば筆者が自室で使用しているAterm WR8300Nだとファームウェアのファイルサイズはわずか2MBしかありません)ためウィルスを付加したら容量不足になる可能性が高く、また通常は書き換え作業は外部のパソコンなどと正しい手順で通信を行い、そこからアップロードされた「正しい」ファームウェアのバイナリファイルをルーターの内蔵マイコンがFLASHメモリに書き込むことでしか行えない(※つまりパソコン側からは直に書き込めません)ような設計になっています。

しかも、そのバイナリファイル自体も通常は冒頭の著作権情報の部分以外はほぼ全て暗号化してあって、ファイル読み込み時に整合性エラーなどが発生し、改ざんの疑いがある場合には直ちに書き換えが停止されるような仕組みにもなっています。

NECアクセステクニカ Aterm WR8300Nの設定画面
指定のIPアドレス(通常はデフォルトで192.168.0.1あるいは192.168.11.1が割り当てられていることが多い)にアクセスするとこのような設定画面がWebブラウザに表示される。この機種の場合、メーカーサイトから自分でダウンロードしてきたファームウェアファイルを用いて手動で更新する方法と、ルーター自身が定期的にメーカーサイトへアクセスし、自動更新する方法の2種が選択できる。

そのため、この種の無線LANルーターそのもののファームウェアを改ざんして更にそのバイナリデータを気づかれないまま公式配布サイトのアップデータファイルとすり替えるのは難しい(※ただし一部メーカーでは主に開発コスト低減の必要からDD-WRTなどオープンソースのルーターOSをベースにしてファームウェア開発を行っているため、その種のメーカーの製品では比較的容易にファームウェア改変が可能なものがあります。今後、該当製品については慎重な取り扱いが必要となるでしょう)のですが、もしそれが実行できてしまうと、大変な被害がもたらされる恐れがあります。

実際、例えばルーター側で最新ファームウェアの公開を検出し自動的に更新を行う機能を利用していた場合、こうした改ざんされたファームウェアが配信されてしまうとユーザー側には防御のしようがありませんし、その場合改ざんに気づくことも恐らく希でしょう

だからこそ、多くのメーカーでは様々な防御策を講じているわけですが、今回の一件により、そうした無線LANルーターのファームウェア公開実施についてバッファロー(※今回の事件を受けて、急遽ダウンロードサイトのサーバ業者を変更する措置を採っています)を筆頭とするメーカー各社とも、より一層厳重なセキュリティ対策が講じられることになるでしょう。

ユーザー側で出来ることは少ないが、皆無ではない

今回の一件で、ただちに無線LANルーターの危険性が高まるわけではありませんが、こうした攻撃にさらされる可能性が皆無ではないことは明らかとなりました。

正直、公式サイトで配布されるファームウェアまで改ざんされてしまうとお手上げなのですが、それでも、アンチウィルスソフトの設定を厳しくする(あるいはインストールしていない場合は早急に導入する)、無線LANルーターのファームウェア自動更新を無効にするなどの対策は可能です。

ファームウェア自動更新は元々遠隔地などで直接メンテナンスの困難な場所にあるルーターのファームウェア更新のために提供されている機能ですから、通常使用の範囲ではこれを切り、面倒でも自分である程度定期的にチェックを行ってある程度安全性が確認できたところで更新するようにする方が無難でしょう。

バッファローダウンロードサイトのウイルス混入によるお詫びとご報告
ダウンロードサイトのウイルス混入に関するご報告(6/5付続報)

Infostealer.Bankeiya.B(SYMANTEC社が公開している当該ウィルスの情報ページ)

※2014年6月9日、ファームウェア書き換えについて一部追補修正しました。

コメントは受け付けていません。

タグ:
PageTopへ