徳丸さん、質問があります。2024年4月に新築マンションに引っ越しをしました。インターネットへの接続は、マンションのネットワークを構築した会社から提供されたAterm WG1200HP4です。こちら、アドミンのIDはadminは変更不可、初期パスワードは数字と英語の8桁でした。

引っ越しのドタバタもあり、初期パスワードの桁数などもチェックせず、そのまま使い続けていたのですが、6月19日に2つの異常が発生しました。一つは、子供(もうすぐ2歳)が寝ている部屋に設置しているベビーモニターがネットワークに繋がらなくなった事、もう一つは前日まで観れていたAbemaTVが「プロキシ(Proxy)やVPNを利用してABEMAを見ることはできません。」というメッセージを表示して観られなくなったことです。

ここで、ルーターに侵入された可能性があると思い、初期パスワードが8桁である事を知った、という流れになります。復旧は、AtermからLANケーブルを抜いた後、初期化して、adminパスワードを64桁に変更し、再びLANを繋ぐことで完了しました。

私の推測では、外部からAtermにブルートフォースを仕掛けられ、突破されてしまい、マルウェアをインストールされた(C&Cサーバー化された)のではないかと思っています。勉強のため、実際にその攻撃を自分で再現したいと思っており、専用のプログラムが存在するのかと思っておりますが、この辺りの知見が得られる書籍やWebサイトを教えて頂くことは可能でしょうか?日本語と英語で書かれた情報なら理解できます。よろしくお願い致します。

Profile Photo

徳丸 浩

徳丸本の中の人 EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://www.youtube.com/@websecstudy

まず、体験された「異常」はルーターのマルウェア感染などではなく、「単なる不調」の可能性が高いと思います。加えて、想定されているような「攻撃」は不可能かと思います。

最近の家庭用ルーターは、デフォルトのパスワードが固定ではなく、ルーター毎に個別の初期パスワードが設定されていて、パスワードは別途提示されます。お使いのWG1200HP4の場合は、本体のラベルに記載されています。これは「パスワードを付箋に書いて貼ってある」ような状況ではあるものの同居人に悪意がない想定であれば、そこまで危険とは言えないと思います。ましてや、外部の人間にはわからない情報です。

また、パスワードが英数字8桁では危険と思われているようですが、実はそこまで危険ではありません。WG1200HP4の画像を検索で確認したところ、初期パスワードは小文字と数字の混在8桁のようですが、そうするとパスワード一文字で26+10=36通りありますから、8桁だと36の8乗で、

36 ^ 8 = 2,821,109,907,456 通り

になります。ブルートフォース(総当たり)というのは、これら全部試すことです。初期パスワードはランダムに生成されるので、「ありがちなパスワードの辞書」は使えません。

今年の4月に入居されて、6月19日に異変に気づいたとのことですので、「攻撃者」が使える時間は約80日ほどです。80日を秒数に変換すると、

80 * 24 * 60 * 60 =  6,912,000 秒

になります。仮定として、80日間で全てのパスワードを試すために、秒間いくつのパスワードを試す必要があるかというと、

2,821,109,907,456 ÷ 6,912,000 = 約40.8万回/秒

ということで、秒間40万回以上のパスワードを試さなければならないことになります。

ところが、一般的には、そんなに多くのパスワードを試せるわけではなく、「Aterm パスワードロック」で検索すると以下の記事が見つかります。

https://www.aterm.jp/support/qa/qa/00310.html

この記事にはこう書いてあります。

ロックアウト機能が働いたため、クイック設定Webが開かなくなっている可能性が考えられます。

ロックアウト機能は、クイック設定Webのログイン認証(ID・パスワードの入力)を10回連続で失敗した場合に、アカウントをロックして、以降は『認証エラー』となり、クイック設定Webを表示できなくする機能です。

アカウントがロックしてしまった場合は、製品の電源を入れ直すことで解除が行えます。

対象機種

WX1500HP、… 中略… WG1200HP4 …後略…

ということで、現実に試せるパスワードは、たったの10個です。ひょっとして、知らない人から「ルーターの電源を入れ直してください」という依頼がありましたか? おそらくないと思いますし、仮に一回くらいは入れ直したとしても、試せるパスワードは20個に過ぎません。あまり依頼が多いと、さすがに気づくでしょう。

これだけではありません。家庭用のルーターの多くがそうであるように、Atermはインターネット(WAN)側からルーターの設定画面にはアクセスできないのです。

実は、その方法がないわけではありません。

方法の一つは、「ポートマッピング」と呼ばれるもので、一旦LAN側から設定画面を開いて(その際に管理者パスワードが必要)、ポートマッピングの設定をすることで、インターネット側から設定画面にアクセスできるようにできます。既に書いたように、この時点で攻撃者はLAN側から侵入できている想定です。それでもこの設定をする動機はありますが、最初の1回はLAN側から攻撃する必要があります。

もう一つは、DNSリバインディングという方法です。こちらは、ルーター利用者に罠の画面を開いてもらい、そこからJavaScriptを用いて、ルーターの管理画面にアクセスする手法です。こちらは、私の動画がありますので、興味があれば見てください。

ただし、DNSリバインディングの攻撃にはパスワードを知ってないといけません。パスワードのトライはできますが、前述の10回制限に引っかかりそうです。

冒頭で『想定されているような「攻撃」は不可能』と書いたのは、上記のような理由からです。

一方、ルーターに対する攻撃というのは過去に行われているわけですが、その多くはルーターの脆弱性を悪用したものです。このため、今度はWG1200HP4の脆弱性を探してみると、以下がありました。

https://www.aterm.jp/support/tech/2023/0531.html

IEEE802.11規格の脆弱性「FragAttacks」に対するAterm製品の対処について[2024年1月25日更新]|サポート技術情報|目的別で探す|Aterm(エーターム) サポートデスク

無線LAN・モバイル製品「Aterm(エーターム)」の公式サポートページです。Q&Aや設定情報、マニュアル、バージョンアップ情報を掲載しています。

www.aterm.jp

こちらは、Wi-Fiのパケットを盗聴したり、改ざんできる脆弱性です。

しかし、この脆弱性は、ルーターにマルウェア感染させられるような脆弱性ではないですし、WG1200HP4は自動アップデートがデフォルトで有効になっていること、ルーターの近くにいないとできない攻撃であることから、この脆弱性が悪用されたわけではないと思います。

ということで、私の見立てではルーターがマルウェア感染したわけではないと思いますので、その方法を説明することもできません。

もし、ルーターのマルウェア感染に興味がお有りでしたら、一般論として、以下のような方法で学習することができます。

  1. ルーターの危険な脆弱性を調べ、脆弱性のCVE番号というものを得る

  2. 得られたCVE番号とPoCやExploitというキーワードの組み合わせで検索して、公開されている検証用の攻撃プログラム(PoCやExploitと呼ばれます)を入手する

  3. 当該のルーター(脆弱性対応していないもの)をオークションサイトなどで入手する

  4. ルーターに対する攻撃を試す

これをするためには、試験環境の準備など、それなりのスキルは必要になります。また、PoCと書いてあっても、実はそれがマルウェアであり、お使いのパソコンがマルウェア感染する可能性があります。このため、PoCのプログラムを解析して、パソコン等に害がないことを確認してから実施する必要があります。

2024/06/29投稿
Loading...
匿名で 徳丸 浩 さんにメッセージを送ろう

利用規約プライバシーポリシーに同意の上ご利用ください

Loading...