米連邦捜査局(FBI)や米国家安全保障局(NSA)を含む世界各国の政府機関は4月7日、世界各地でロシアのハッカーがルーターの脆弱性を悪用しているとの合同発表を行った。標的となったのは主にSOHO(小規模オフィス)向けのルーターで、攻撃の実行主体はロシア軍参謀本部情報総局(GRU)配下の組織だという。
各国の政府機関は、Wi-Fiルータの最新ファームウェアへの更新やログインパスワードの変更といった、基本的なセキュリティ対策をあらためて呼びかけている。英国の政府機関は(NCSC)は、攻撃の標的となったTP-Link製ルーターを23機種、機種名込みで具体的に挙げた。
物々しいニュースに聞こえるが、今回侵害されたのは特に小規模オフィス向けルーターであり、家庭のWi-Fiルーターが危険にさらされている可能性は低い、という点は押さえておきたい。とはいえ、影響を受けたルーターの中には一般的な家庭用ルーターとして使えるものもあるため、自分の機種が今回の攻撃で悪用されたものに含まれていないか確認しておく価値はある。
セキュリティ企業Forescoutで研究部門を率いるダニエル・ドス・サントス氏は米CNETに対し、「ルーターを狙う攻撃は近年、大きな流れになっている。家庭向けルーターだけでなく、企業向けルーターも標的になっている」と話している。
どのような攻撃なのか
NSAの発表によれば、この攻撃は幅広いルーターを無差別に標的にしたもので、狙いは「軍事、政府、重要インフラ」に関する情報収集にあったという。
FBIによると、攻撃を仕掛けているのはロシアGRU傘下のハッカー集団で、「APT28」「Fancy Bear」「Forest Blizzard」などの名で知られている。攻撃は少なくとも2024年から続いているという。
使われた手口は、いわゆるDNS(ドメインネームシステム)ハイジャッキングだ。SOHOルーターの設定を書き換え、ユーザーのDNSリクエストを攻撃者側に誘導することで、接続先などの情報や、暗号化されていない通信を把握できるようにする。
マイクロソフトの脅威インテリジェンス部門は、Forest Blizzardのような国家支援型の攻撃者にとって、DNSハイジャッキングは「大規模かつ継続的に、目立たない形で偵察を行う手段になる」と指摘している。同社は今回のGRUによる攻撃で、200を超える組織と5000台以上の一般消費者向けデバイスが影響を受けたと特定した。
対象となったルーターは?
FBIの発表で名指しされた機種のひとつが、TP-Linkの「TL-WR841N」だ。Wi-Fi 4対応モデルで、最初に発売されたのは2007年だ。また英NCSCは合計23機種を一覧化したうえで「これがすべてとは限らない」と注記している。対象として挙げられたのは以下の機種だ。
TP-Link LTE Wireless N Router MR6400
TP-Link Wireless Dual Band Gigabit Router Archer C5
TP-Link Wireless Dual Band Gigabit Router Archer C7
TP-Link Wireless Dual Band Gigabit Router WDR3600
TP-Link Wireless Dual Band Gigabit Router WDR4300
TP-Link Wireless Dual Band Router WDR3500
TP-Link Wireless Lite N Router WR740N
TP-Link Wireless Lite N Router WR740N/WR741ND
TP-Link Wireless Lite N Router WR749N
TP-Link Wireless N 3G/4G Router MR3420
TP-Link Wireless N Access Point WA801ND
TP-Link Wireless N Access Point WA901ND
TP-Link Wireless N Gigabit Router WR1043ND
TP-Link Wireless N Gigabit Router WR1045ND
TP-Link Wireless N Router WR840N
TP-Link Wireless N Router WR841HP
TP-Link Wireless N Router WR841N
TP-Link Wireless N Router WR841N/WR841ND
TP-Link Wireless N Router WR842N
TP-Link Wireless N Router WR842ND
TP-Link Wireless N Router WR845N
TP-Link Wireless N Router WR941ND
TP-Link Wireless N Router WR945N
TP-Link Systemsの広報担当者によると、今回対象として挙げられた機種はいずれも、すでに数年前にサポートが終了しているという。ただし同社は、「通常のサポート対象からは外れているが、技術的に可能な一部の古い機種については、セキュリティ更新を用意している」と説明している。
TP-Linkは、該当する古いルーターを使い続けているユーザーに対し、可能であれば新しい機種への買い替えを推奨している。利用可能なセキュリティパッチの一覧は、同社のセキュリティアドバイザリーページで確認できる。
Amazonで現在開催中のセールを見る
Amazonのアソシエイトとして、CNET Japanは適格販売により収入を得ています