「Facebook拡張ツールバッグを取付て安全性及び仕様流暢性を向上します」ルータの脆弱性を突いた攻撃

「Facebook拡張ツールバッグを取付て安全性及び仕様流暢性を向上します」というメッセージが表示される現象が報告されています。恐らくルータの脆弱性を突いた攻撃の可能性があるとして、無線LANルータが初期設定のままだとマルウェアへ感染する可能性があると、情報通信研究機構（NICT）が平成30年3月26日に発表しました。SNSなどで攻撃が話題になっており、情報通信研究機構（NICT）が調査したところ、原因は不明だが、DNS改ざん後にマルウェア配布サイトへ誘導されることが判明したとのことです。

事象

マルウェア配布サイトへアクセスすると、【Facebook拡張ツールバッグを取付て安全性及び仕様流暢性を向上します】といったアラートが表示されます。

アラート画面の「OK」をクリックすると，Facebookアプリに偽装したマルウェアがダウンロードされます

マルウェアがインストールされると自動実行され，【Googleアカウント危険、認証完了後使用してください】とアラートが表示されます。

「確認」ボタンをクリックすると，氏名と生年月日の入力を求めるページが表示されます

引用元URL：http://blog.nicter.jp/reports/2018-02/router-dns-hack/

改ざん被害のあったルータ

Logitec

Lan-W300N

引用元URL：http://www.logitec.co.jp/info/2017/1219.html

Buffalo

WHR-1166DHP4

WHR-G301N

NTT

Netcommunity OG410Xa

Netcommunity OG410Xi

Netcommunity OG410Xa

Netcommunity OG810Xa

Netcommunity OG810Xi

NTTは以下の条件を満たす場合に事象が発生する可能性があるとしています。

1. 本機器をインターネット接続用途で利用している場合。
2. インターネット接続設定でセキュリティ設定を無効にして利用している場合。
3. 機器設定用ログインパスワードを初期値より変更していない場合。

引用元URL：https://www.ntt-east.co.jp/info/detail/180328_01.html

対応方法

・改ざん被害を受けた場合の対処方法

・ルータ内のDNSが正規の設定になっているか設定情報を確認

・メーカやサポートへの連絡

【現時点で攻撃を受けている場合】

DNSが書き換えられている可能性がある為、DNSの設定を正しい状態にする必要があります。
通常はプロバイダから自動取得しますが、プロバイダからDNSアドレスを指定されている場合は指定アドレスに設定します。

中小企業情報セキュリティ.COMでは、現状で不明確な部分が多い為、バックドアが仕掛けられている可能性や、不正アクセスの踏み台になる可能性も否定できないので、工場出荷状態へ戻し、初期化して、再設定することを推奨致します。

【該当のルータを使用している場合は下記の対応をして下さい】

①パスワードの変更

②ファームウェアのアップデート

Buffalo
http://buffalo.jp/support_s/t20171221.html

Logitec
http://www.logitec.co.jp/info/2017/1219.html

※NTT製ルータについては現在のところ対応ファームウェアはないとのことです。

③UPnP機能の無効化
＊UPnP機能を無効にできない場合は、ファイアウォールのフィルタリング設定で、TCPの52869番ポートを拒否する設定にします。

④NTTのルータを使用している場合はルータのセキュリティ機能を有効化