3月中旬よりルーターのDNS情報を書き換えてマルウェアを導入させるページへ誘導する現象が発生しているとして、情報通信研究機構(NICT)が注意を呼び掛けています。
NTT東西が法人向けに提供している「Netcommunity OG」シリーズでの事例が多いことから、NTT東西も本件に関する告知を出しています。
Wi-Fi ルータの DNS 情報の書換え後に発生する事象について - NICTER Blog
「Netcommunity OGシリーズ」におけるインターネット接続不可事象について | NTT東日本
「Netcommunity OGシリーズ」におけるインターネット接続不可事象について | NTT西日本(PDF)
今回の事象では影響を受けるとルーターのDNSに関する情報が書き換えられ、一部を除くドメインの名前解決時に正常なものと異なるIPアドレスが返答され、
Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。
というメッセージが表示されるページでAndroid向けマルウェアのダウンロードが行われるというものです。
NICTのブログ記事によれば、マルウェアをインストールするとGoogleアカウントが危険という趣旨の文と共に氏名や生年月日を入力・送信させる画面が開くようです。
現時点でNTT東西が対象機種として公開しているのは法人向けのNetcommunity OGシリーズのみで、個人向けを含む他の製品や他社のルーターにおいて同様の事象が発生しないかは定かではありません。
※2018/4/6 19:40追記
バッファローとNECプラットフォームズより本件に関する発表が出ています。
どちらも設定画面へアクセスするパスワードの変更とファームウェアの更新を推奨しています。
フェイスブックの機能追加を求めるメッセージが表示される障害について | BUFFALO バッファロー
不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム) サポートデスク
※2018/4/2 16:25追記
2018/4/2に本件に関するロジテック株式会社からの発表がありました。
お客様相談室へ連絡し、設定を提示されたものに変更することが推奨されています。
重要なお知らせ - > インターネット上での接続障害について - ロジテック
2018/3/29 18:20追記
トレンドマイクロの「セキュリティブログ」にも本件に関する記事が掲載されました。
ダウンロードされるものが「AndroidOS_SmsSpy」である点や、インストール後にデバイス管理者の権限を要求する点が解説されています。
不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生 | トレンドマイクロ セキュリティブログ
※2018/3/29 16:40追記
発生事例はこちらの記事をご覧下さい。
※2018/3/29 16:15追記
ネット上の投稿によるとBUFFALOのWHR-1166DHP4やWHR-G301N、Logitec製ルーターでの事例が確認できますが、現時点で本件に関するバッファロー及びエレコム・ロジテックからの発表はありません。
facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します|姫路のパソコン修理出張専門のマックスプランニング合資会社(WHR-1166DHP4の事例)
うちも同じ症状です。無線LANはバッファローの「WHR-G301N」を使っています
Google Chrome ヘルプ フォーラムの投稿(WHR-G301Nの事例)
先日からパソコンでインターネットに接続しようとすると… - Yahoo!知恵袋(Logitec製ルーターの事例)
avec moiルータへの攻撃(Logitec製ルーターの事例)
