まず、体験された「異常」はルーターのマルウェア感染などではなく、「単なる不調」の可能性が高いと思います。加えて、想定されているような「攻撃」は不可能かと思います。
最近の家庭用ルーターは、デフォルトのパスワードが固定ではなく、ルーター毎に個別の初期パスワードが設定されていて、パスワードは別途提示されます。お使いのWG1200HP4の場合は、本体のラベルに記載されています。これは「パスワードを付箋に書いて貼ってある」ような状況ではあるものの同居人に悪意がない想定であれば、そこまで危険とは言えないと思います。ましてや、外部の人間にはわからない情報です。
また、パスワードが英数字8桁では危険と思われているようですが、実はそこまで危険ではありません。WG1200HP4の画像を検索で確認したところ、初期パスワードは小文字と数字の混在8桁のようですが、そうするとパスワード一文字で26+10=36通りありますから、8桁だと36の8乗で、
36 ^ 8 = 2,821,109,907,456 通り
になります。ブルートフォース(総当たり)というのは、これら全部試すことです。初期パスワードはランダムに生成されるので、「ありがちなパスワードの辞書」は使えません。
今年の4月に入居されて、6月19日に異変に気づいたとのことですので、「攻撃者」が使える時間は約80日ほどです。80日を秒数に変換すると、
80 * 24 * 60 * 60 = 6,912,000 秒
になります。仮定として、80日間で全てのパスワードを試すために、秒間いくつのパスワードを試す必要があるかというと、
2,821,109,907,456 ÷ 6,912,000 = 約40.8万回/秒
ということで、秒間40万回以上のパスワードを試さなければならないことになります。
ところが、一般的には、そんなに多くのパスワードを試せるわけではなく、「Aterm パスワードロック」で検索すると以下の記事が見つかります。
https://www.aterm.jp/support/qa/qa/00310.html
www.aterm.jp
この記事にはこう書いてあります。
ロックアウト機能が働いたため、クイック設定Webが開かなくなっている可能性が考えられます。
ロックアウト機能は、クイック設定Webのログイン認証(ID・パスワードの入力)を10回連続で失敗した場合に、アカウントをロックして、以降は『認証エラー』となり、クイック設定Webを表示できなくする機能です。
アカウントがロックしてしまった場合は、製品の電源を入れ直すことで解除が行えます。
対象機種
WX1500HP、… 中略… WG1200HP4 …後略…
ということで、現実に試せるパスワードは、たったの10個です。ひょっとして、知らない人から「ルーターの電源を入れ直してください」という依頼がありましたか? おそらくないと思いますし、仮に一回くらいは入れ直したとしても、試せるパスワードは20個に過ぎません。あまり依頼が多いと、さすがに気づくでしょう。
これだけではありません。家庭用のルーターの多くがそうであるように、Atermはインターネット(WAN)側からルーターの設定画面にはアクセスできないのです。
実は、その方法がないわけではありません。
方法の一つは、「ポートマッピング」と呼ばれるもので、一旦LAN側から設定画面を開いて(その際に管理者パスワードが必要)、ポートマッピングの設定をすることで、インターネット側から設定画面にアクセスできるようにできます。既に書いたように、この時点で攻撃者はLAN側から侵入できている想定です。それでもこの設定をする動機はありますが、最初の1回はLAN側から攻撃する必要があります。
もう一つは、DNSリバインディングという方法です。こちらは、ルーター利用者に罠の画面を開いてもらい、そこからJavaScriptを用いて、ルーターの管理画面にアクセスする手法です。こちらは、私の動画がありますので、興味があれば見てください。
ただし、DNSリバインディングの攻撃にはパスワードを知ってないといけません。パスワードのトライはできますが、前述の10回制限に引っかかりそうです。
冒頭で『想定されているような「攻撃」は不可能』と書いたのは、上記のような理由からです。
一方、ルーターに対する攻撃というのは過去に行われているわけですが、その多くはルーターの脆弱性を悪用したものです。このため、今度はWG1200HP4の脆弱性を探してみると、以下がありました。
https://www.aterm.jp/support/tech/2023/0531.html
www.aterm.jp
こちらは、Wi-Fiのパケットを盗聴したり、改ざんできる脆弱性です。
しかし、この脆弱性は、ルーターにマルウェア感染させられるような脆弱性ではないですし、WG1200HP4は自動アップデートがデフォルトで有効になっていること、ルーターの近くにいないとできない攻撃であることから、この脆弱性が悪用されたわけではないと思います。
ということで、私の見立てではルーターがマルウェア感染したわけではないと思いますので、その方法を説明することもできません。
もし、ルーターのマルウェア感染に興味がお有りでしたら、一般論として、以下のような方法で学習することができます。
ルーターの危険な脆弱性を調べ、脆弱性のCVE番号というものを得る
得られたCVE番号とPoCやExploitというキーワードの組み合わせで検索して、公開されている検証用の攻撃プログラム(PoCやExploitと呼ばれます)を入手する
当該のルーター(脆弱性対応していないもの)をオークションサイトなどで入手する
ルーターに対する攻撃を試す
これをするためには、試験環境の準備など、それなりのスキルは必要になります。また、PoCと書いてあっても、実はそれがマルウェアであり、お使いのパソコンがマルウェア感染する可能性があります。このため、PoCのプログラムを解析して、パソコン等に害がないことを確認してから実施する必要があります。