複数ネットワーク機器に感染する「VPNFilter」が判明 - 少なくとも54カ国50万台に感染か

さらに「ステージ2」のプラグインとして導入される「ステージ3」では、ネットワークのトラフィックを取得し、ウェブの認証に使用されたアカウント情報を窃取。さらにSCADAで利用する「Modbusプロトコル」を監視したり、「Tor」により通信するためのモジュールが用意されていたという。

「VPNFilter」を解析したCisco Systemsは、攻撃対象となるネットワーク機器は、インターネットと直接接続されている上、機器上にマルウェア対策ソフトを導入することができないなど防御が難しいと指摘。

対策としては、持続的に感染が続かない「ステージ2」「ステージ3」を排除するため、工場出荷時のデフォルト状態にリセットすることや、最新のファームウェアを適用することを挙げている。

コマンドによって一部またはすべてを使用不可能にすることが可能で、同時に操作された場合、数十万規模でインターネット接続が遮断されるおそれがあるなど、影響は小さくなく、同社では対策を実施するよう注意を呼びかけている。

感染活動の流れ（図：Cisco）

（Security NEXT - 2018/05/24 ） ツイート

PR

関連記事

中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
侵入後に即攻撃するランサムウェア「Ghost」に注意 - 70カ国以上で被害
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
「VPN脆弱性」以外の侵入経路もお忘れなく - 水飲み場攻撃など健在
「RDPファイル」添付した標的型攻撃メールに警戒呼びかけ - 米当局
ランサムウェア「RansomHub」が猛威 - 7カ月で200件超の被害
ランサムウェア「Black Basta」に注意 - 500超の組織で被害、医療機関も
露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
「VMware ESXi」も標的とするランサムウェア「Akira」に警戒を