Bleeping Computerは3月24日(米国時間)、「DrayTek routers worldwide go into reboot loops over weekend」において、先週末からDrayTek製ルータが再起動を繰り返し機能を停止している報じた。本稿執筆時点において、原因は特定されていない。

  • DrayTek routers worldwide go into reboot loops over weekend

    DrayTek routers worldwide go into reboot loops over weekend

解決策

DrayTekは問題の報告を受け、解決策を「DrayTek routers rebooting- How to solve this issue – DrayTek FAQ」にて公開した。注意点としてデバイスの最新ファームウェアが2024年未満の場合、この手法は適用できないとしている。

具体的な手順は次のとおり。

  1. WAN回線を物理的に切断する
  2. 別の回線を使用して、デバイスの最新ファームウェアをダウンロードする(参考:「Downloads - DrayTek Australia」)
  3. 公式手順に従いファームウェアをアップデートする。Webインタフェースからアップデートできない場合は、TFTPによるアップデートを試す(参考:「How do I upgrade the firmware on my Vigor router? – DrayTek FAQ」)

また、追加の対策として次の設定を推奨している。

  • リモートアクセスは必要不可欠な場合を除き無効にする
  • アクセス制御リスト(ACL: Access Control List)を使用する。可能な場合は二要素認証(2FA: Two-Factor Authentication)を有効にする
  • パッチの適用されていないルータは、リモートアクセス(管理者)およびSSL VPNの両方を無効にする。なお、アクセス制御リスト(ACL)はSSL VPN(ポート443)には適用されない
  • 可能であればリモートアクセス制御ページのすべてのVPNタイプを無効にする
  • すべてのVPNタイプを無効にする例 - 引用:DrayTek

    すべてのVPNタイプを無効にする例 引用:DrayTek

原因の推察と古いデバイスの対処

原因についてさまざまな憶測が飛び交っているが、これまでのところDrayTekから発表はない。ただ、公開された解決策から原因を推察することができる。

ルータなどリソースの限られた通信デバイスの場合、マルウェアはファームウェアアップデートにより削除できる可能性が高い。また、ファームウェアに直接の原因がある場合は、リモートアクセス制限を求めることはない。

これらのことから、ファームウェアに直接の原因はなく、マルウェアの削除が必要と推測することができる。つまり、デバイスに脆弱性が存在し、サイバー攻撃を受けマルウェアに侵害された可能性がある。

今月公開された最新ファームウェアには脆弱性の修正が含まれている。このトラブルの有無にかかわらず、DrayTek製ルータを運用している場合、影響を確認して速やかにアップデートすることが推奨されている。

なお、DrayTekは(ファームウェアアップデートの対象外となった)古いルータの所有者に対し、製品の交換を推奨している。サポート終了(EOL: End-of-Life)に達した製品について、対策を実施する予定はないとみられる。