中国製WiFiは危険なのか／警視庁が警告した家庭用WiFiを狙う攻撃事例がカマロドラゴンのバックドアだ

【投稿者コメント】

【キーワード】

[WiFi設定に注意を]､[特に家庭用が狙われる]､[踏み台にされ重大危害]

【件名】

｢ロシア製ウィルス対策ソフトや中国製WiFiはやはり危険なのか？／と云うより､どのベンダー製のWiFiであろうとも､いい加減な設定で使っていると標的攻撃にされて､重要インフラへの攻撃の中継に悪用されてしまう！／警視庁が警告した家庭用WiFiを狙う攻撃の具体例がこれだ！／中国政府の支援を受けたサイバー攻撃グループ｢カマロドラゴン｣がルーターにバックドアを設けてネットワーク攻撃を行っている｣

【投稿本文】

　先般､警視庁が､｢家庭用のWiFiをいい加減な設定で使っていると標的にされて､重要インフラへの攻撃の中継に悪用されてしまう！｣と警告した具体例が､下記の【以下転載】の報告だ！

　この報告に依れば､いい加減な設定で使っている家庭用のWiFiが狙われて､｢中国政府の支援を受けたサイバー攻撃グループ｢カマロドラゴン｣がルーターにバックドアを設けネットワーク侵害を行っている｣と云う！

【注目すべき点】

【１】感染方法としては､既知の脆弱性を用いたか､パスワードがデフォルト設定の端末や簡単に推測出来る端末を対象にしてアクセスに成功した可能性がある｡

【２】攻撃は､機密性の高い業務用のネットワークではなく､中継点として悪用する為に､ホームネットワークを狙っている点に注目すべきだ｡

【３】インプラントのコンポーネントは､特に､特定ベンダーのTP-Link製のファームウェアに依存しないものであり､TP-Link以外の広範囲のデバイスやベンダーが危険にさらされる｡

　要するに､WiFiを購入してパスワードを変えていないとか､すぐに推定可能なパスワードにするとか､いい加減な設定をしているとすぐに､WiFiが乗っ取られて､重要インフラ攻撃の踏み台＝中継点として悪用されてしまう！　しかも､攻撃対象は特定ベンダーのTP-Linkだけでなく､他のNECやバッファローやエレコムやIOデータやLinksysやASUSやWAVLINKやCiscoやHUAWEIやNETGEARやQNAPやヤマハ等のベンダー製のWiFiも攻撃を受けてしまう！

　ゆえに､警視庁の警告は､具体的な攻撃事例に基づくものなので､今一度､御自宅のWiFiについて､

・WiFiのパスワードを複雑なものに変更しているか？！
・WiFi設定用のログインパスワードを複雑なものにしているか？！
・WiFiの暗号を適切な暗号化方式に設定しているか？！
・WiFiのファームウェアは最新の状態か？！
・WiFiは､買い替え対象の､サポートが終了した古い機器ではないのか？！
・WiFiの設定として､自分の知らない､見に覚えのない､不審な設定がされていないか否かを定期的に確認しているか？！
　使用していない設定が有効になっていないか､身に覚えのない設定がいつの間にか有効になっていないかを確認しているか？！　万一､不審な設定があれば､第三者が機器に侵入していた可能性があるので､すぐに機器の初期化を行い､ファームウェアを最新に更新した上で､機器のパスワードを複雑なものに変更すべし！

　を点検頂きたい！

・｢Wi-Fi（無線LAN）ルーターをお使いの方へ｣
　https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber401.html

　下記の報告のポイントは次の通り｡

①攻撃者が検出を回避しながら､感染したデバイスを完全に乗っ取り､乗っ取ったネットワークにアクセス出来るルーター向けインプラント(*-1)･マルウェアの存在が､セキュリティ企業Check Pointの調査チーム､Check Point Research(CPR)に依って明らかになった｡

②インプラントを仕掛けているのは､中国政府が支援するAPT(Advanced Persistent Threat：高度持続的脅威)グループ｢Camaro Dragon(カマロドラゴン)｣であるとみられている｡

③CPRは､ヨーロッパの外交機関に対する標的型サイバー攻撃の調査を行い､APTグループ｢カマロドラゴン｣に依るものであると断定した｡

④CPRの調査で､｢Horse Shell｣と呼ばれる､カスタムされたバックドアを含めた様々な有害コンポーネントを内包した､TP-Link製ルータ用に作られた悪意のあるファームウェア･インプラントが見つかっている｡

⑤｢Horse Shell｣を用いれば､攻撃者はマルウェアに感染したデバイスを完全に乗っ取って､検出される事なく､乗っ取ったネットワークにアクセス出来る｡

⑥｢Horse Shell｣は､感染したルータ上で任意のコマンドを実行する｢リモートシェル｣､感染したルータとの間でファイルをアップロード／ダウンロードする｢ファイル転送｣､異なるクライアント間の通信を中継する｢SOCKS5トンネリング｣の3つの機能を攻撃者に提供する｡

⑦どの様にしてルータにインプラントに感染させたのかは不明だが､CPRは､既知の脆弱性を用いたか､パスワードがデフォルト設定の端末や簡単に推測出来る端末を対象にしてアクセスに成功した可能性があると推測している｡

⑧CPRは､この種の攻撃が､機密性の高いネットワークではなく､ホームネットワークを狙っている点が注目に値すると記している｡

⑨ホームネットワークを狙う理由は､特定の家庭を攻撃目標としている為ではなく､中継点として利用する為であり､ホームルータは攻撃者にとって､目的達成の為の､単なる手段だとの事｡

⑩CPRに依れば､インプラントのコンポーネントは､ファームウェアに依存しないものであり､TP-Link以外の広範囲のデバイスやベンダーが危険にさらされている恐れがあるとの事｡

(*-1)
｢インプラント｣とは？
インプラントとは､デバイス内に｢密かにインストールされた｣スパイソフトウェアの事で､攻撃者はデバイス内に保存されたデータへアクセス出来るだけでなく､あらゆる通信を盗聴出来る等､リモートアクセスしたいターゲットシステム上で実行される､悪意あるコードです｡

【追　記】(2023年7月20日)

　下記の報告を読むと､何か釈然としない点が浮かび上がる！

Q1｢なぜ､中国のWiFiメーカのTP-Link社製のWiFiが狙われたのか？｣

Q2｢TP-Link社製のWiFiは､どの様な経緯･流れで感染したのか？｣

Q3｢TP-Link製のWiFiは購入設置後に外部からの攻撃で感染したのか？それとも､購入した時点で既に感染していたのか？｣

　特に､Q3の答え次第で､対処策は大きく変わる！

　Q3の答えが､｢購入設置後に外部からの攻撃で感染した｣のであれば､上記の警視庁の警告の対処方法が有効だが､Q3の答えが､｢購入した時点で既に感染していた｣のであれば､上記の警視庁の警告の対処方法を実行しても､メーカのHP(ホームページ)に掲載されている最新版の｢ファームウェア／ドライバ｣自身が､バックドアに感染して､インプラント化しておれば､当該WiFiは廃棄して､他のメーカ製のWiFiに代替するしかない！

　もっとも､｢購入した時点で既に感染していた｣のであれば､ITセキュリティに関わる国の機関や取り締り当局が､当該WiFiを購入設置したITセキュリティ検証･監視活動で､摘発される事は､大いに予見出来るから､敢えて､すぐに露呈する､見え透いた愚行を犯す事は無いようにも思えるが？

　一企業のWiFiメーカが仕出かした事件どころか､中国政府が主導したとなると､いわゆる､サイバー戦争の宣戦布告行為となり､WiFiメーカの企業価値を毀損すると云うより､中国の製造業全体の信用を貶(おとし)める行為となり､敢えて､この様な愚行を犯す必要性は計り知れない！

　これじゃ､中国製品は安心して使えぬから､製品引き渡し後に､最低､1ヶ月以上の検疫･精査･審査を経る必要があるから､この費用と時間損失を負担する為に､売却価格を6割引して貰わぬ事には引き合わない！

　と云うより､製品価値は既に半減しているから､敢えて､リスクを犯す様なもの好きはおらず､｢危うきに近寄らず｣の｢中国製品ボイコット(忌避)｣の流れが加速するだけだ！

◇

　一方､くだんの中国のWiFiメーカ製のWiFiは､AmazonのWebサイトに溢れており､多数の広告･宣伝記事も､有名ITサイトの｢馬鹿の杜｣に満載されている！

　くだんの中国のWiFiメーカ製のWiFiの広告･宣伝記事を満載した有名ITサイトの｢馬鹿の杜｣は､今回の｢カマロドラゴン｣に依る｢ルーターにバックドアを仕掛けた攻撃事件｣の事は何ら､記事にしておらず､相変わらず､AmazonのWebサイトにも多数のくだんの中国のWiFiメーカ製のWiFiが掲載し続けられている事も異様だ！

　今回の｢WiFiへのバックドア攻撃事件｣にくだんのWiFiメーカや中国政府が無関係なら､その旨をすぐに表明すべきだと思うが？

　沈黙を決めて無視し続けている理由は､一体､何なのか？

　詰問に答えらず､反証も出来ないと云う事なのか？

　こう云う状態では､当該製品の使用は中止するしかなかろう！

【以下転載】

https://gigazine.net/news/20230518-custom-router-implant/
｢中国政府の支援を受けたサイバー攻撃グループ｢カマロドラゴン｣がルーターにバックドアを設けネットワーク侵害を行っている｣
　　　　　　　　　　　　　　　　　　　　gigazine.net　2023年05月18日 13時00分

　攻撃者が検出を回避しつつ､感染したデバイスを完全に制御して侵害されたネットワークにアクセス出来るルーター向けインプラントの存在が､セキュリティ企業Check Pointの調査チーム､Check Point Research(CPR)に依って明らかになりました｡

　インプラントを仕掛けているのは､中国政府が支援するAPT(Advanced Persistent Threat：高度持続的脅威)グループ｢Camaro Dragon(カマロドラゴン)｣であるとみられています｡(添付図１)

・Check Point Research reveals a malicious firmware implant for TP-Link routers, linked to Chinese APT group - Check Point Blog(添付図２)

　https://blog.checkpoint.com/security/check-point-research-reveals-a-malicious-firmware-implant-for-tp-link-routers-linked-to-chinese-apt-group/

・The Dragon Who Sold His Camaro: Analyzing Custom Router Implant - Check Point Research(添付図３)

　https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/

・Malware turns home routers into proxies for Chinese state-sponsored hackers | Ars Technica(添付図４)
　https://arstechnica.com/information-technology/2023/05/malware-turns-home-routers-into-proxies-for-chinese-state-sponsored-hackers/

　CPRは､ヨーロッパの外交機関に対する標的型サイバー攻撃の調査を行い､APTグループ｢カマロドラゴン｣に依るものであると断定しました｡

　CPRの調査で､｢Horse Shell｣と呼ばれる､カスタムされたバックドアを含めた様々な有害コンポーネントを内包した､TP-Link製ルーター用に作られた悪意のあるファームウェアインプラントが見つかっています｡

　｢Horse Shell｣を用いる事で､攻撃者はマルウェアに感染したデバイスを完全に制御して､検出される事なく､侵害されたネットワークにアクセスする事が出来ます｡

　｢Horse Shell｣は､感染したルーター上で任意のコマンドを実行する｢リモートシェル｣､感染したルーターとの間でファイルをアップロード･ダウンロードする｢ファイル転送｣､異なるクライアント間の通信を中継する｢SOCKS5トンネリング｣の3つの機能を攻撃者に提供します｡

　どの様にしてルーターにインプラントが行われたのかは不明で､CPRは､既知の脆弱性を用いたか､パスワードがデフォルト設定の端末や簡単に推測出来る端末を対象にする事でアクセスに成功した可能性があると推測しています｡

　CPRは､この種の攻撃が機密性の高いネットワークではなく､ホームネットワークを狙っている点が注目に値すると記しています｡

　尚､ホームネットワークを狙うのは､特定の家庭を攻撃目標としている為ではなく､中継点として利用する為で､ホームルーターは攻撃者にとって目的達成の為の単なる手段だとの事｡

　CPRに依れば､インプラントのコンポーネントはファームウェアに依存しないものであり､TP-Link以外の広範囲のデバイスやベンダーが危険にさらされている恐れがあるとの事です｡

　尚､ニュースサイト､Ars Technicaの取材に対して､TP-Linkはコメントしませんでした｡