画像：Cisco’s Talos Intelligence Group Blog

5月23日、Cisco社は「VPNFilter」というマルウェアが拡大していることを報告しました。
標的となっているのは主にルーターやDVRやNASで、54ヶ国50万台以上に広がっています。感染が一気に拡大したのは5月8日で、特にウクライナでは5月17日に感染数が急増していると判明しています。

感染が確認されているデバイスは次のとおりです。

ベンダー	端末・シリーズ名
Linksys
	E1200
	E2500
	WRVS4400N
MikroTik RouterOS Versions for Cloud Core Routers
	1016
	1036
	1072
NETGEAR
	DGN2200
	R6400
	R7000
	R8000
	WNR1000
	WNR2000
QNAP
	TS251
	TS439 Pro
	QTSの動作するその他のQNAPデバイス
TP-Link
	R600VPN

VPN Filterの特徴

VPN Filterには3つのステージが存在します。
ステージ1は、ステージ2以降のマルウェアを展開するための土台作りが主な役割で、攻撃に必要なモジュールをC&Cサーバーからダウンロードします。サーバーのIPアドレスが変わるなどの事態にも対応できるように作られています。
ステージ2では、ファイル収集、コマンド実行、データ窃取、デバイス管理などを実施可能です。ファームウェアの重要部分を上書きして再起動することができます。また、「kill」コマンドで感染端末を一斉に使用不能にする攻撃も可能で、もしこの攻撃を実行されると被害者側で復旧させることは困難と見られています。
そしてステージ3モジュールは更にいくつかの機能を実現します。Webサイトの認証情報の窃取、Modbus SCADAプロトコルの監視、ステージ2をTor経由で通信させるモジュールの存在が確認されています。

画像：Cisco’s Talos Intelligence Group Blog

VPNFilterの特徴は、再起動しても完全に消去されない点にあります。
ステージ2とステージ3のモジュールは再起動すると消去されますが、その土台となるステージ1は消去されません。
つまり、再起動しただけでは、再度ステージ2やステージ3への感染を引き起こされる可能性があるのです。

感染拡大の背景

Cisco社は、標的となっている端末を防御することが以下の理由で困難であると説明しています。

• セキュリティーデバイスを介さず直接インターネットに接続されている
• 既知の脆弱性を修正するパッチを適用することが、平均的なユーザーには困難である
• 端末にアンチマルウェア機能を持たせることができない

更に、これらの機器は脆弱性やデフォルトの認証情報も広く知られています。こうした条件を利用し、攻撃者は2016年から徐々に感染を拡大させていたと見られています。

対処法

Cisco社はユーザーが可能なVPNFilterへの対処として次の事項を推奨しています。

1. 工場出荷状態にリセットする
2. 感染が確認されている端末を使っているのであれば必ず最新のパッチを適用する

FBIの動き

VPNFilterに関連して、米FBIはマルウェアの制御に使われていたドメインを差し押さえたと発表しました。
FBIがコントロールするサーバーにリダイレクトさせる措置を講じ、捜査に活用するとしています。

IoT機器の守り方

Cisco社も指摘するとおり、デフォルトのパスワードのまま運用することはセキュリティー面で強い懸念となります。まずはそこを変更することが大切です。
また、ルーター以外の機器に関しては、インターネットと機器の間にセキュリティーデバイスを挟むことで壁を作ることも効果的です。
DVRやNAS、カメラをUTM配下に入れれば、マルウェアの侵入を防いだりC&Cサーバーとの通信を止めたりすることが可能です。

参考（外部リンク）

New VPNFilter malware targets at least 500K networking devices worldwide | Cisco’s Talos Intelligence Group Blog
ネットワーク機器を標的とするマルウェア「VPNFilter」について | JPCERT/CC
米FBI、マルウェア「VPNFilter」に感染したデバイスのネットワークを分断 | ITmedia