Bleeping Computerは3月24日(米国時間)、「DrayTek routers worldwide go into reboot loops over weekend」において、先週末からDrayTek製ルータが再起動を繰り返し機能を停止している報じた。本稿執筆時点において、原因は特定されていない。
解決策
DrayTekは問題の報告を受け、解決策を「DrayTek routers rebooting- How to solve this issue – DrayTek FAQ」にて公開した。注意点としてデバイスの最新ファームウェアが2024年未満の場合、この手法は適用できないとしている。
具体的な手順は次のとおり。
- WAN回線を物理的に切断する
- 別の回線を使用して、デバイスの最新ファームウェアをダウンロードする(参考:「Downloads - DrayTek Australia」)
- 公式手順に従いファームウェアをアップデートする。Webインタフェースからアップデートできない場合は、TFTPによるアップデートを試す(参考:「How do I upgrade the firmware on my Vigor router? – DrayTek FAQ」)
また、追加の対策として次の設定を推奨している。
- リモートアクセスは必要不可欠な場合を除き無効にする
- アクセス制御リスト(ACL: Access Control List)を使用する。可能な場合は二要素認証(2FA: Two-Factor Authentication)を有効にする
- パッチの適用されていないルータは、リモートアクセス(管理者)およびSSL VPNの両方を無効にする。なお、アクセス制御リスト(ACL)はSSL VPN(ポート443)には適用されない
- 可能であればリモートアクセス制御ページのすべてのVPNタイプを無効にする
原因の推察と古いデバイスの対処
原因についてさまざまな憶測が飛び交っているが、これまでのところDrayTekから発表はない。ただ、公開された解決策から原因を推察することができる。
ルータなどリソースの限られた通信デバイスの場合、マルウェアはファームウェアアップデートにより削除できる可能性が高い。また、ファームウェアに直接の原因がある場合は、リモートアクセス制限を求めることはない。
これらのことから、ファームウェアに直接の原因はなく、マルウェアの削除が必要と推測することができる。つまり、デバイスに脆弱性が存在し、サイバー攻撃を受けマルウェアに侵害された可能性がある。
今月公開された最新ファームウェアには脆弱性の修正が含まれている。このトラブルの有無にかかわらず、DrayTek製ルータを運用している場合、影響を確認して速やかにアップデートすることが推奨されている。
なお、DrayTekは(ファームウェアアップデートの対象外となった)古いルータの所有者に対し、製品の交換を推奨している。サポート終了(EOL: End-of-Life)に達した製品について、対策を実施する予定はないとみられる。