【感染】ルータから侵入するマルウェアが6年も前から存在していたんだそうです(゜Д゜)

世間一般、インターネットを使うには、ルータを置いていることが当たり前になっていますよね。

ちょっと前までは、インターネットへの出入口には、モデムがあって、接続ツールでインターネットに接続していたのに。驚くべき進歩です。

そんな中、驚くべきマルウェアが判明したんだそうです。

その名も

Slingshot(スリングショット)

というマルウェアです。

このマルウェア、

ルータが感染経路

だというんです。ここで、腑に落ちないのが、ルータが感染経路って事は、ルータが売られるときに既に、入り込んでいたって事になりますよね。

でも、最近のルータは、ソフトで動くと言うよりも、組み込むハードで動いている形が殆どですから、製造ラインで入り込まない限り、不可能じゃないかって思うんです。

もちろん、ソフトで動く場合でも、製品で出す場合には、製造ラインで組み込まれて出荷されるので、これまた、侵入が難しいように思えます。

で、ちょっと調べてみると、今回の対象ルータは、組み込むハードではなく、

OSの変更が出来る

マニア向け小型ルータ

で起こっていたものだったらしいです。

そのマニア向け小型ルータですが、

MikroTik製ルータ

のようです。このルータ、独自のルーティングソフト「RouterOS」を搭載して売られているようなのですが、

ゲートウェイなどの組み込みシステム用ファームウェアとして開発されている

OpenWRT

を入れることの出来る汎用ルータのようです。

既に、対策済みのパッチが出て、対応が完了しているようですが、

未だ、原因が解明されていないそうです。

 

今回は、このルータで留まっていたから、いいですが、

今後、同じような攻撃をされるルータが出てくるかもしれませんよね。

 

それにしても、6年もの間、どのようなプログラムかも特定も出来ない状態で野放しになっているなんて、こんなこと言ってはいけませんが、最近のウィルスにしては、ある意味、素晴らしいモノがあったんだって、感心してしまうところもあります。

Android端末を踏み台にしたDDoS(分散型サービス妨害)攻撃が多発していますね。

最近、公式Google Play Storeで、マルウェア「WireX」が仕込まれたアプリが、300から500本アップされていることが判ったようです。

AppleのiOSのように、配信前に厳格にアプリケーション審査が行われていなかったり、公式アプリストア以外で配信されたアプリも簡単にインストール出来てしまったり、セキュリティ対策アプリに対しても高い権限を与えていないことで、マルウェアの活動を抑止することが難しいとされてきていました。
その難しさ故に、危険性が指摘されていた最中、今回実際に被害が出始めていると言うことのようです。

Googleは、不正アプリを削除するなどの対策は講じているようですが、イタチごっこになっているように思えます。

今回、マルウェアを仕込まれた不正アプリは、

メディア再生アプリ
着信音
ストレージ管理ツール

などを装って公開されていたようです。

一時、ポケモンGoの公式アプリとは別に偽もポケモンGoが配信されていたことがありますが、手軽にダウンロード出来る反面、こういった脅威にさらされた環境にあることは認識しておくべき事だと思います。
そのためにも、セキュリティ対策アプリは入れておくべきですが、元々のGoogle Play Storeの考え方として、セキュリティ対策アプリに対して高い権限を付与していないところにも、少々疑問点があります。
それでも、セキュリティ対策アプリは入れておくべきです。

今後、こういった悪意を持ったアプリが配信され、被害が起きてから後日削除されるというケースが頻発していくものと考えられます。
本来、こうであってはいけないのですが、現状致し方ない状況です。

こうなってしまうと、自己防衛しか残されていない状況です。
ダウンロードするアプリが、安全なものか否か、そのアプリよりも身元がシッカリしたアプリがあるのではないかなど、考えて使っていく必要があると思います。

[無料]クライアントPCのマルウェア感染を手動で駆除する最良の無料ツール

無料で使えるトラブルシューティングツール「Windows Sysinternals」の一つとして、Microsoftが用意している「Autoruns for Windows」をご紹介します。

マルウェア感染を手動駆除

「Autoruns for Windows」は、厳密に言うと、マルウェア対策ツールという分類には出来ないのですが、PCからマルウェア感染を手動で駆除することが出来るようになる、最良の無料ツールになっています。

で、どうやって使うかですが、ちょっと、使って経験を積むしかないのかなぁってところがあります。

でも、使い方は至って簡単なんです。

Autoruns for Windows

からダウンロードしてきて、ZIPファイルを解凍すると、中には、4種類の実行ファイルが入っています。

autoruns.exe
autoruns64.exe
autorunsc.exe
autorunsc64.exe

となっていて、64がついているのは、64bit版OSを使っている方様なので、システムのプロパティで、64bit版なのか確認して使って下さい。

あとは、

GUI版として、autoruns.exe
コマンドラインツールとして、autorunsc.exe

が入っています。

今回は、見て直ぐ判るように、GUI版のautoruns.exeで紹介しています。

まずは、autoruns.exeをダブルクリックしてソフトを立ち上げてみてください。

そうすると、Windows起動時に自動的に実行されるプログラム一覧が表示されます。

その中に、怪しいプログラムがあるのか判断するのですが、怪しいプログラムと判断されると、

黄帯

でマークされます。

加えて、停止しているプログラムや問題のあるプログラム、手動で常駐解除しているプログラムといったモノについては、

赤帯

でマークされます。

基本的には、黄帯と赤帯について、確認をします。

その中でも、まず、注目するのは、

「Publisher」

の項目です。

ここが空欄のプログラムは、デジタル署名がされていないことを意味しています。世の中には、ウィルス自体もデジタル署名をしているものが存在しますが、まずは署名されていないプログラムを疑うことをしましょう。

デジタル署名のないプログラムの行は、黄帯か赤帯でマークされます。

この黄帯と赤帯において、

Image Pathが”File not found”と記載されているものは、

ファイルの実体がないので、デジタル署名もない状態と考えて問題ないと思います。

これらについては、基本的には、無視してもいいでしょう。

その他の、デジタル署名がないプログラムを一旦外してみて、パソコンの動作に変化が無い場合には、Image Pathの内容を確認しながら、インストールした覚えのないプログラムを順番に外していき、少しずつ動作の変化を確認してみてください。

基本的に、手動でマルウェア対策をする場合には、この繰り返しになります。