消費者向けルーターのセキュリティはかなり悪いです。攻撃者は、怠惰なメーカーを利用して、大量のルーターを攻撃しています。ルーターが侵害されているかどうかを確認する方法は次のとおりです。
ホームルーター市場は Android スマートフォン市場 によく似ています。メーカーはさまざまなデバイスを多数生産しているにもかかわらず、わざわざアップデートせず、攻撃にさらされたままにしています。
ルーターがダークサイドに加わる仕組み
攻撃者は多くの場合、ルーターの DNS サーバー設定を変更して、悪意のある DNS サーバーを指定しようとします。 Web サイト (銀行の Web サイトなど) に接続しようとすると、悪意のある DNS サーバーは、代わりにフィッシング サイトにアクセスするように指示します。アドレスバーにはまだbankofamerica.comと表示されているかもしれませんが、そこはフィッシングサイトです。悪意のある DNS サーバーは、必ずしもすべてのクエリに応答するとは限りません。ほとんどのリクエストがタイムアウトになり、クエリが ISP のデフォルトの DNS サーバーにリダイレクトされる可能性があります。 DNS リクエストが異常に遅い場合は、感染している可能性がある兆候です。
鋭い観察力を持つ人は、このようなフィッシング サイトには HTTPS 暗号化が適用されていないことに気づくかもしれませんが、多くの人は気づかないでしょう。 SSL ストリッピング攻撃により、 転送中の暗号化が削除されることもあります。
攻撃者は、単に広告を挿入したり、検索結果をリダイレクトしたり、ドライブバイ ダウンロードのインストールを試みたりすることもあります。 Google Analytics や、ほぼすべての Web サイトで使用されるその他のスクリプトに対するリクエストをキャプチャし、代わりに広告を挿入するスクリプトを提供するサーバーにリクエストをリダイレクトできます。 How-To Geek や New York Times などの正規の Web サイトでポルノ広告を見た場合は、ルーターかコンピューター自体が何かに感染していることはほぼ間違いありません。
多くの攻撃はクロスサイト リクエスト フォージェリ (CSRF) 攻撃を利用します。攻撃者は悪意のある JavaScript を Web ページに埋め込み、その JavaScript がルーターの Web ベースの管理ページをロードして設定を変更しようとします。 JavaScript はローカル ネットワーク内のデバイス上で実行されているため、コードはネットワーク内でのみ利用可能な Web インターフェイスにアクセスできます。
一部のルーターでは、デフォルトのユーザー名とパスワードとともにリモート管理インターフェイスがアクティブになっている場合があります。ボットはインターネット上でそのようなルーターをスキャンしてアクセスを取得できます。他のルーターの問題を利用する悪用も可能です。たとえば、UPnP は多くのルーターで脆弱であるようです。
確認方法
ルーターが侵害されたことを示す 1 つの証拠は、DNS サーバーが変更されていることです。ルーターの Web ベースのインターフェイスにアクセスして、DNS サーバーの設定を確認してください。
まず、 ルーターの Web ベースのセットアップ ページにアクセスする 必要があります。ネットワーク接続のゲートウェイ アドレスを確認するか、ルーターのマニュアルを参照して方法を確認してください。
必要に応じて、ルーターのユーザー名と パスワード を使用してサインインします。どこか (多くの場合、WAN またはインターネット接続設定画面) で「DNS」設定を探します。 「自動」に設定されていれば問題ありません。ISP から情報を取得します。 「手動」に設定されており、そこにカスタム DNS サーバーが入力されている場合は、問題が発生する可能性があります。
適切な代替 DNS サーバー (たとえば、Google DNS の場合は 8.8.8.8 と 8.8.4.4、OpenDNS の場合は 208.67.222.222 と 208.67.220.220) を使用するようにルーターを構成していれば問題ありません。ただし、そこに見覚えのない DNS サーバーがある場合は、マルウェアがルーターを変更して DNS サーバーを使用していることを示しています。疑わしい場合は、DNS サーバーのアドレスを Web 検索して、それらが正当なものかどうかを確認してください。 「0.0.0.0」のようなものは問題ありませんが、多くの場合、フィールドが空で、ルーターが代わりに DNS サーバーを自動的に取得することを意味します。
専門家は、ルーターが侵害されていないかどうかを確認するために、この設定を時々チェックすることを推奨しています。
助けて、悪意のある DNS サーバーがあります!
ここで悪意のある DNS サーバーが構成されている場合は、それを無効にして、ISP からの自動 DNS サーバーを使用するようにルーターに指示するか、Google DNS や OpenDNS などの正規の DNS サーバーのアドレスをここに入力するように指示できます。
ここに悪意のある DNS サーバーが入力されている場合は、念のため、ルーターの設定をすべて消去し、工場出荷時の設定にリセットしてから、再度セットアップすることをお勧めします。次に、以下のトリックを使用して、さらなる攻撃からルーターを保護します。
ルーターを攻撃に対して強化する
確かに、 これらの攻撃に対してルーターをある程度強化する ことはできます。ルーターにメーカーがパッチを当てていないセキュリティ ホールがある場合、完全にセキュリティを確保することはできません。
- ファームウェアのアップデートをインストールする : ルーターの最新のファームウェアがインストールされていることを確認します 。ルーターが自動ファームウェア更新を提供している場合は、それを有効にします。残念ながら、ほとんどのルーターはこれを提供しません。これにより、少なくともパッチが適用された欠陥から確実に保護されます。
- リモート アクセスを無効にする : ルーターの Web ベース管理ページへのリモート アクセスを無効にします。
- パスワードを変更する : 攻撃者がデフォルトのパスワードを使用して侵入できないように、ルーターの Web ベース管理インターフェイスのパスワードを変更します。
- UPnP をオフにする : UPnP は特に脆弱です 。ルーター上で UPnP に脆弱性がない場合でも、ローカル ネットワーク内のどこかで実行されているマルウェアが UPnP を使用して DNS サーバーを変更する可能性があります。これが UPnP の仕組みです。UPnP はローカル ネットワーク内からのすべてのリクエストを信頼します。
DNSSEC は 追加のセキュリティを提供することになっていますが、万能薬ではありません。現実の世界では、すべてのクライアント オペレーティング システムは、設定された DNS サーバーを信頼するだけです。悪意のある DNS サーバーは、DNS レコードに DNSSEC 情報がないか、DNSSEC 情報はあり、渡される IP アドレスは本物であると主張する可能性があります。
画像クレジット: Flickr の nrkbeta
