Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象

ルータにおいてDNS情報を書き換え、不正サイトへ誘導する大規模な攻撃「GhostDNS」が9月後半より展開されていることがわかった。70種類以上のルータを攻撃対象としており、侵害を受けた端末は10万台以上にのぼっている。

9月20日ごろよりあらたなツールを用いた探索行為をQihoo 360が観測。攻撃キャンペーン「GhostDNS」として詳細を明らかにしたもの。

同社によれば、同キャンペーンでは同社が把握しただけで10万台以上のルータが侵害を受けていた。おもにブラジルを標的にしていると見られ、同地域における被害が9割近くにのぼるという。

従来と同様、ルータ管理ページのパスワードを推測したり、認証を回避して設定ページへアクセスし、DNSの設定を改ざんする手法だが、DNSの変更にとどまらず、4種類のモジュールを利用することで銀行やサービスなどの情報を詐取していた。

具体的には脆弱なルータを探索し、DNSを変更する「DNSChanger」にくわえ、フィッシングサイトへ誘導するための「悪意あるDNS」、実際に情報を詐取する「フィッシングサイト」、さらに「管理サイト」が用意されていた。

20181003_qi_002.jpg
4種類のモジュールで構成される「GhostDNS」(図:Qihoo 360)

(Security NEXT - 2018/10/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「memcached」狙う攻撃者、増幅可能な他プロトコルも物色
ルータのDNS改ざん攻撃、狙いはアジア圏? - 誘導元は韓国が最多
DNS改ざん誘導先アプリは正規版のリパック - 26日以降に150件以上のアクセス
一部「無線LANルータ」でDNS設定の改ざん被害 - 誘導先でマルウェア配布
WatchGuard、Percipient Networksを買収 - DNSによる遮断機能を取得
真庭市のサーバに不正アクセス - 「OpenSSL」の脆弱性が標的に
米Akamai、悪意あるドメインへの接続防ぐソリューション
JPCERT/CC、サイバー攻撃グループが登録した偽ドメインの奪還に成功 - 対策ノウハウも
カスペルスキー、ITインフラ全体の情報から攻撃を検知するソリューション
国内のオープンリゾルバを踏み台にしたDNS水責め攻撃が再開 - JPCERT/CCが観測