Home » » ルーターを破壊する前に VPNFilter マルウェアを検出する方法

ルーターを破壊する前に VPNFilter マルウェアを検出する方法

ルーターを破壊する前に VPNFilter マルウェアを検出する方法

ルーター、ネットワーク デバイス、モノのインターネット上のマルウェアがますます一般的になってきています。それらのほとんどは脆弱なデバイスに感染し、非常に強力なボットネットに属しています。ルーターとモノのインターネット (IoT) デバイスには、常に電力が供給され、常にオンラインで、指示を待っています。そしてボットネットはそれを利用してこれらのデバイスを攻撃します。

しかし、���べてのマルウェア (マルウェア) が同じというわけではありません。

VPNFilter は、ルーター、IoT デバイス、さらには一部のネットワーク接続ストレージ (NAS) デバイスを攻撃する破壊的なマルウェアです。デバイスが VPNFilter マルウェアに感染しているかどうかをどのように検出しますか?そして、どうすればそれを取り除くことができますか?次の記事で VPNFilter について詳しく見てみましょう。

マルウェア VPNFilter とは何ですか?削除するにはどうすればよいですか?

VPNフィルターとは何ですか?

ルーターを破壊する前に VPNFilter マルウェアを検出する方法

VPNFilter は、主にさまざまなメーカーのネットワーク デバイスや NAS デバイスをターゲットとする、高度なモジュール型マルウェアの亜種です。 VPNFilter は当初、 Linksys、MikroTik、NETGEAR、TP-Linkネットワーク デバイス、および QNAP NAS デバイスで発見され、54 か国で約 500,000 件に感染しました。

VPNFilter 発見チームである Cisco Talos は最近、このマルウェアに関連する詳細を更新し、ASUS、D-Link、Huawei、Ubiquiti、UPVEL、ZTE などのメーカーのネットワーク デバイスが現在 VPNFilter に感染している兆候を示していることを示しました。ただし、この記事の執筆時点では、Cisco ネットワーク デバイスは影響を受けていません。

このマルウェアは、システムの再起動後も存続するため、削除がより困難であるため、IoT に焦点を当てた他のほとんどのマルウェアとは異なります。デフォルトのログイン資格情報を使用するデバイス、またはファームウェアが定期的に更新されていないゼロデイ脆弱性 (未知のコンピュータ ソフトウェアの脆弱性) を持つデバイスは、特に脆弱です。

VPNFilter でできることは何ですか?

VPNFilter は「マルチモジュール、クロスプラットフォーム」であり、デバイスに損傷を与えたり、破壊したりする可能性があります。さらに、ユーザーデータを収集するという憂慮すべき脅威になる可能性もあります。 VPNFilter はいくつかの段階で動作します。

フェーズ 1 : フェーズ 1 の VPNFilter は、デバイス上にランディング サイトを確立し、コマンド アンド コントロール (C&C) サーバーに接続して追加モジュールをダウンロードし、指示を待ちます。フェーズ 1 には、実装中にインフラストラクチャが変更された場合に備えて、フェーズ 2 の C&C を位置付けるための複数の緊急事態も組み込まれています。ステージ 1 VPNFilter マルウェアは再起動後も生き残ることができるため、非常に危険な脅威となります。

ステージ 2 : ステージ 2 の VPNFilter は再起動後は持続しませんが、この段階では多くの機能を備えています。フェーズ 2 では、個人データの収集、コマンドの実行、デバイス管理の妨害が行われる可能性があります。さらに、実際にはフェーズ 2 のさまざまなバージョンが存在します。一部のバージョンには、デバイスファームウェアのパーティションを上書きし、再起動してデバイスを使用不能にする破壊的なモジュールが装備されています (基本的に、マルウェアを無効にします)。ルーター、IoT、または NASデバイスの構成)。

フェーズ 3 : フェーズ 3 の VPNFilter モジュールはフェーズ 2 のプラグインとして機能し、VPNFilter の機能を拡張します。パケット スニファーとして機能し、デバイス上の受信トラフィックを収集し、ログイン資格情報を盗むモジュール。別のタイプでは、ステージ 2 のマルウェアがTorを使用して安全に通信できます。 Cisco Talos は、デバイスを通過するトラフィックに悪意のあるコンテンツを挿入するモジュールも発見しました。これは、ハッカーがルータ、IoT、または NAS デバイスを通じて、接続されている他のデバイスをさらに悪用する可能性があることを意味します。

さらに、VPNFilter モジュールは「Web サイトの認証情報の盗難と Modbus SCADA プロトコルの監視を可能にします」。

サーバーのIPアドレスを抽出する

VPNFilter マルウェアのもう 1 つの興味深い (ただし新たに発見されたものではない) 機能は、C&C サーバーのIP アドレスを見つけるためにオンライン写真共有サービスを使用することです。 Talos の分析により、マルウェアが一連の Photobucket URL を指していることが判明しました。マルウェアは、URL 参照ギャラリーの最初の画像をダウンロードし、画像メタデータに隠されているサーバーIP アドレスを抽出します。

IPアドレスは「EXIF情報内のGPS緯度と経度の6つの整数値から抽出されます。」それが失敗した場合、ステージ 1 マルウェアは通常のドメイン (toknowall.com - 詳細は後述) に戻り、イメージをダウンロードし、同じプロセスを試みます。

ルーターを破壊する前に VPNFilter マルウェアを検出する方法

パケットスニッフィングが狙われている

Talos の更新レポートには、VPNFilter パケット スニッフィング モジュールに関する興味深い詳細が示されています。すべてに干渉するのではなく、特定の種類のトラフィックをターゲットとする一連の厳格なルールがあります。具体的には、産業用制御システム (SCADA) からのトラフィックは、TP-Link R600 VPN を使用して、事前に定義された IP アドレスのリスト (ネットワークの高度な知識を示す) および必要なトラフィックに接続します。また、150 バイトまたは 150 バイトのデータ パケットも同様です。もっと大きい。

Talos のシニア テクノロジー リード兼グローバル リーチ マネージャーである Craig William 氏は、「VPNFilter は非常に具体的なものを探しています」と Ars に語った。彼らはできるだけ多くのトラフィックを集めようとしていません。彼らは、ログイン情報やパスワードなどの非常に小さなものだけを取得しようとします。これについては、非常に的を絞った、非常に洗練されたものであるということ以外、あまり情報がありません。私たちはまだ、彼らがこの手法を誰に適用しているのかを調べ中です。」

VPNFilter はどこから来たのですか?

VPNFilter は、国家支援のハッカー グループの仕業であると考えられています。 VPNFilter 感染は最初にウクライナで発見され、多くの情報筋はこれがロシアの支援を受けたハッカー グループ Fancy Bear の仕業であると信じています。

しかし、このマルウェアに対する犯行声明を出した国やハッカーグループはありません。 SCADA やその他の産業システム プロトコルに対するマルウェアの詳細かつ対象を絞ったルールを考慮すると、ソフトウェアが国民国家によって支援されているという理論が最も可能性が高いように思えます。

しかし、FBI は VPNFilter が Fancy Bear の製品であると考えています。 2018 年 5 月、FBI は、ステージ 2 およびステージ 3 の VPNFilter マルウェアのインストールと命令に使用されていたと考えられるドメイン ToKnowAll.com を押収しました。このドメインの押収は、確かに VPNFilter の即時拡散を阻止するのに役立ったと考えられますが、問題を完全に解決できませんでした。ウクライナ保安局 (SBU) は、2018 年 7 月に化学処理工場に対する VPNFilter 攻撃を阻止しました。

VPNFilter は、ウクライナのさまざまな標的に対して使用されるAPTトロイの木馬である BlackEnergy マルウェアにも類似点があります。繰り返しになりますが、正確な証拠はありませんが、ウクライナのシステムを標的とした攻撃は主にロシアと密接な関係を持つハッカーグループによって行われています。

デバイスが VPNFilter に感染しているかどうかを確認するにはどうすればよいですか?

ルーターが VPNFilter マルウェアに感染していない可能性があります。ただし、デバイスが安全であることを確認することをお勧めします。

リンクhttps://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware でルーターを確認してください。お使いのデバイスがリストにない場合でも、問題はありません。

シマンテックの VPNFilter テスト ページ (http://www.symantec.com/filtercheck/) にアクセスできます利用規約ボックスにチェックを入れて、中央にある「VPNFilter チェックを実行」ボタンを押します。テストは数秒で完了します。

ルーターを破壊する前に VPNFilter マルウェアを検出する方法

VPNFilter に感染した場合はどうすればよいですか?

Symantec VPNFilter Check でルーターが VPNFilter に感染していることが確認された場合は、次のアクションを実行する必要があります。

  • ルーターをリセットし、VPNFilter Check を再度実行します。
  • ルーターを工場出荷時の設定にリセットします。
  • ルーターの最新ファームウェアをダウンロードし、できればルーターがプロセス中にオンライン接続を行わずに、「クリーンな」ファームウェアのインストールを完了します。

さらに、VPNFilter に感染したルーターに接続されている各デバイスでシステム全体のスキャンを実行する必要があります。

VPNFilter マルウェアを削除する最も効果的な方法は、ウイルス対策ソフトウェアとマルウェア削除アプリケーションを使用することです。どちらのツールも、このウイルスが実際にコンピュータやルーターに感染する前に検出できます。

ウイルス対策ソフトウェアは、コンピュータの速度によってはプロセスが完了するまでに数時間かかる場合がありますが、悪意のあるファイルを削除する最適な方法も提供します。

VPNFilter のようなマルウェアを検出し、問題が発生する前に削除するマルウェア削除ツールをインストールすることも価値があります。

ウイルス対策ソフトウェアと同様、マルウェアのスキャン プロセスは、コンピュータのハード ドライブのサイズや速度によっては何時間もかかる場合があります。

他のウイルスと同様に、ルーターから VPNFilter マルウェアを削除する必要もあります。これを行うには、ルーターを工場出荷時のデフォルト設定にリセットする必要があります。

ルーターをハード リセットするには、新しい管理者パスワードの作成やすべてのデバイスのワイヤレス ネットワークの設定など、ルーターを最初からリセットする必要があります。正しく行うには時間がかかります。

可能であれば、ルーターだけでなく、IoT デバイスや NAS デバイスのデフォルトの認証情報も常に変更する必要があります (IoT デバイスではこのタスクを実行するのは簡単ではありません)。さらに、VPNFilter が一部のファイアウォールをバイパスできるという証拠もありますが、ファイアウォールを適切にインストールして構成することで、他の多くの迷惑行為をネットワークから防ぐことができます。

ルーターを破壊する前に VPNFilter マルウェアを検出する方法

VPNFilter マルウェアを削除する最も効果的な方法は、ウイルス対策ソフトウェアを使用することです

VPNFilter マルウェアの再感染を回避するにはどうすればよいですか?

VPNFilter (またはその他のウイルス) に再感染するリスクを軽減するための重要な方法がいくつかあります。これには、VPNFilter に直接関連する具体的なヒントも含まれます。

ルーターのファームウェアを更新する

更新されたルーターは、VPNFilter マルウェアやその他のセキュリティの脅威から保護されます。できるだけ早く更新することを常に忘れないでください。

ルーターのパスワードを変更する

ルーターの製造元が設定したデフォルトのパスワードは使用しないでください。より強力で悪意のある攻撃者による攻撃の可能性が低い独自のパスワードを作成します。

ウイルス対策ソフトウェアを更新する

ウイルス対策プログラムとマルウェア対策プログラムを最新の状態に保ちます。新しいウイルス定義が定期的にリリースされるため、常に新しいウイルスやマルウェアの脅威に関する情報が PC に提供されます。

新しいプログラムにも注目してください!

ダウンロードしたプログラムやアプリケーションのソースを明確に知ることが重要です。評判の悪いサイトには、VPNFilter などの不要なアドオンが多数あります。

ポップアップ広告をクリックしないでください。

Web サイトの閲覧中にバナーが表示された場合は、クリックしないでください。通常、最も安全な方法は、ポップアップ広告がいっぱいの Web サイトではなく、別の Web サイトにアクセスすることです。

ルーター上のマルウェアの人気が高まっています。マルウェアと IoT の脆弱性はいたるところに存在し、オンラインのデバイスの数が増え続けるにつれ、状況は悪化する一方です。ルーターは、家庭内のデータの中心となります。ただし、他のデバイスほどセキュリティ上の注意は受けていません。簡単に言えば、ルーターはあなたが思っているほど安全ではありません。

続きを見る:

Tags: #マルウェア #vpnfilter #vpnfilter とは #vpnfilter の仕組み #vpnfilter の出所 #vpnfilter に感染しているかどうかを確認する方法

Windows 10で欠落しているデフォルトの電源プランを復元する方法

Windows 10で欠落しているデフォルトの電源プランを復元する方法

このガイドでは、Windows 10でデフォルトの電源プラン(バランス、高パフォーマンス、省電力)を復元する方法を詳しく解説します。

Windows 10 で BlueStacks 5 の仮想化 (VT) を有効にする方法

Windows 10 で BlueStacks 5 の仮想化 (VT) を有効にする方法

仮想化を有効にするには、まず BIOS に移動し、BIOS 設定内から仮想化を有効にする必要があります。仮想化を使用することで、BlueStacks 5 のパフォーマンスが大幅に向上します。

WiFi接続に接続する際のドライバーの切断を修正

WiFi接続に接続する際のドライバーの切断を修正

WiFi 接続に接続するときにドライバーが切断されるエラーを修正する方法を解説します。

Windows での DIR コマンドの使用方法

Windows での DIR コマンドの使用方法

DIR コマンドは、特定のフォルダーに含まれるすべてのファイルとサブフォルダーを一覧表示する強力なコマンド プロンプト コマンドです。 Windows での DIR コマンドの使用方法を詳しく見てみましょう。

ソフトウェアを使わずに Windows 10 アプリをバックアップおよび復元する方法

ソフトウェアを使わずに Windows 10 アプリをバックアップおよび復元する方法

ソフトウェアなしで Windows 10 アプリをバックアップし、データを保護する方法を説明します。

Windows でローカル グループ ポリシー エディターを開くための 11 のヒント

Windows でローカル グループ ポリシー エディターを開くための 11 のヒント

Windows のローカル グループ ポリシー エディターを使用して、通知履歴の削除やアカウントロックの設定を行う方法を説明します。

最高の IP 監視ツール 10 選

最高の IP 監視ツール 10 選

重要なリソースを簡単に監視及び管理できる<strong>IP監視</strong>ソフトウェアがあります。これらのツールは、ネットワーク、インターフェイス、アプリケーションのトラフィックをシームレスに確認、分析、管理します。

AxCrypt ソフトウェアを使用してデータを暗号化する方法

AxCrypt ソフトウェアを使用してデータを暗号化する方法

AxCrypt は、データの暗号化に特化した優れたソフトウェアであり、特にデータ セキュリティに優れています。

Windows 10 Creators Updateのアップデート後にシステムフォントを変更する方法

Windows 10 Creators Updateのアップデート後にシステムフォントを変更する方法

システムフォントのサイズを変更する方法は、Windows 10のユーザーにとって非常に便利です。

Windows 10で機内モードをオフにできないエラーを修正する方法

Windows 10で機内モードをオフにできないエラーを修正する方法

最近、Windows 10にアップデートした後、機内モードをオフにできない問題について多くのユーザーから苦情が寄せられています。この記事では、Windows 10で機内モードをオフにできない問題を解決する方法を説明します。