ネットワーク機器を標的とするマルウェア「VPNFilter」について (追加情報)
最終更新: 2018-06-07
本記事は 2018年5月24日に公開した「ネットワーク機器を標的とするマルウェア「VPNFilter」について」の追加情報です。前回の記事はこちらです。
https://www.jpcert.or.jp/newsflash/2018052401.html
2018年6月6日 (米国時間)、Cisco Talosからマルウェア VPNFilterについての追加の調査結果が公開されました。新たに ASUS、D-Link、Huawei、Ubiquiti、UPVEL、ZTEの製品が VPNFilterの影響を受けるとされています。また、既に対象となっていた製品のベンダにおいても、影響を受ける製品が一部追加されています。
Cisco Talos
VPNFilter Update - VPNFilter exploits endpoints, targets new devices
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html
VPNFilterの影響を受ける製品のベンダは次のとおりです。詳細な製品名は Cisco Talosの情報をご参照ください。 (★は 2018年6月6日時点で追加されたベンダ)
- QNAP
- Linksys
- Mikrotik
- Netgear
- TP-Link
- ASUS★
- D-Link★
- Huawei★
- Ubiquiti★
- UPVEL★
- ZTE★
また、VPNFilterに感染後、[第三段階] において、感染したネットワーク機器経由の通信に不正なコードを埋め込んだり、自己消去によって証拠を隠蔽したりするなど、追加で確認された機能があります。
VPNFilter感染時の活動 (★は 2018年6月6日時点の追加確認分)
[第一段階]
・攻撃に必要なモジュールをC2サーバから継続的にダウンロードするための環境設定
[第二段階]
・ファイル収集、デバイス管理などの情報窃取
・システム破壊等を実現するモジュールのダウンロード
[第三段階]
・通信内容の情報窃取や C2サーバとの通信の秘匿化などの機能拡張
・感染したネットワーク機器を経由する通信の傍受および不正なコードの埋め込み★
・自己消去による証拠隠蔽およびシステム破壊★
2018年6月6日時点においてもVPNFilterの感染原因は特定されていません。ネットワーク機器の既知の脆弱性やデフォルトの認証情報を悪用している可能性があるとのことです。
該当するネットワーク機器を使用しているユーザは、前回と同様に次の対策が推奨されています。
(1) 対象機器を工場初期出荷の状態にリセットし、再起動する
(2) ファームウエアやソフトウエアのバージョンを最新にする
(3) 感染挙動が確認された場合、機器の製造元へ相談する
なお、影響を受ける製品のベンダもVPNFilterについて下記のとおり情報を公開しています。今回、新たに影響を受けることが判明した製品のベンダの情報は一部まだ確認できていませんが、随時情報は追加・更新される可能性があります。引き続き、製品ベンダやセキュリティベンダからの情報にご注意ください。
QNAP
Security Advisory for VPNFilter Malware
https://www.qnap.com/en/security-advisory/nas-201805-24
TEKWIND
【注意喚起】QNAP社製NAS VPNFilterマルウェア対策について
https://www.tekwind.co.jp/QNA/information/entry_736.php
Linksys
VPNFilter Malware Update
https://community.linksys.com/t5/Wireless-Routers/VPNFilter-Malware-Update/td-p/1315372
Mikrotik
VPNfilter official statement
https://forum.mikrotik.com/viewtopic.php?t=134776
Netgear
Security Advisory for VPNFilter Malware on Some NETGEAR Devices
https://kb.netgear.com/000058814/Security-Advisory-for-VPNFilter-Malware-on-Some-NETGEAR-Devices
TP-Link
VPNFilter Malware Security
https://www.tp-link.com/us/faq-2212.html
D-Link
Regarding VPNFilter Malware Information
https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10085
今回の件について、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する場合がございます。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ