Wi-FiルーターのDNS情報書き換えによるマルウェア導入への誘導が発生中

ニュース

3月中旬よりルーターのDNS情報を書き換えてマルウェアを導入させるページへ誘導する現象が発生しているとして、情報通信研究機構(NICT)が注意を呼び掛けています。

NTT東西が法人向けに提供している「Netcommunity OG」シリーズでの事例が多いことから、NTT東西も本件に関する告知を出しています。

Wi-Fi ルータの DNS 情報の書換え後に発生する事象について – NICTER Blog

「Netcommunity OGシリーズ」におけるインターネット接続不可事象について | NTT東日本

「Netcommunity OGシリーズ」におけるインターネット接続不可事象について | NTT西日本(PDF)

スポンサーリンク

今回の事象では影響を受けるとルーターのDNSに関する情報が書き換えられ、一部を除くドメインの名前解決時に正常なものと異なるIPアドレスが返答され、

Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。

http://blog.nicter.jp/reports/2018-02/router-dns-hack/

というメッセージが表示されるページでAndroid向けマルウェアのダウンロードが行われるというものです。

NICTのブログ記事によれば、マルウェアをインストールするとGoogleアカウントが危険という趣旨の文と共に氏名や生年月日を入力・送信させる画面が開くようです。

現時点でNTT東西が対象機種として公開しているのは法人向けのNetcommunity OGシリーズのみで、個人向けを含む他の製品や他社のルーターにおいて同様の事象が発生しないかは定かではありません。

※2018/4/6 19:40追記

バッファローとNECプラットフォームズより本件に関する発表が出ています。

どちらも設定画面へアクセスするパスワードの変更とファームウェアの更新を推奨しています。

フェイスブックの機能追加を求めるメッセージが表示される障害について | BUFFALO バッファロー

不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム) サポートデスク


※2018/4/2 16:25追記

2018/4/2に本件に関するロジテック株式会社からの発表がありました。

お客様相談室へ連絡し、設定を提示されたものに変更することが推奨されています。

重要なお知らせ – > インターネット上での接続障害について - ロジテック


2018/3/29 18:20追記

トレンドマイクロの「セキュリティブログ」にも本件に関する記事が掲載されました。

ダウンロードされるものが「AndroidOS_SmsSpy」である点や、インストール後にデバイス管理者の権限を要求する点が解説されています。

不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生 | トレンドマイクロ セキュリティブログ


※2018/3/29 16:40追記

発生事例はこちらの記事をご覧下さい。


※2018/3/29 16:15追記

ネット上の投稿によるとBUFFALOのWHR-1166DHP4やWHR-G301N、Logitec製ルーターでの事例が確認できますが、現時点で本件に関するバッファロー及びエレコム・ロジテックからの発表はありません。

facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します|姫路のパソコン修理出張専門のマックスプランニング合資会社(WHR-1166DHP4の事例)

うちも同じ症状です。無線LANはバッファローの「WHR-G301N」を使っています

Google Chrome ヘルプ フォーラムの投稿(WHR-G301Nの事例)

先日からパソコンでインターネットに接続しようとすると… – Yahoo!知恵袋(Logitec製ルーターの事例)

avec moiルータへの攻撃(Logitec製ルーターの事例)

コメント