Bleeping Computerはこのほど、「AryStinger botnet infected thousands of D-Link routers worldwide」において、D-Link製のルータを標的とするボットネット型マルウェア「AryStinger」が特定されたと報じた。
これは中国のセキュリティ企業「奇安信(Qianxin)」が公開したブログ「More Than 4,000 Legacy Routers Compromised by AryStinger, Turned into Global Attack Proxies for Hackers」により明らかになった。攻撃者は、古いルータの脆弱性を悪用し、世界中で稼働している4300台以上のルータにマルウェアを展開したという。
-
古いルータはサイバー攻撃の標的になりやすい。サポート終了機種は早めの買い替えを検討したい Photo:PIXTA
AryStingerの感染手口
この攻撃で悪用された脆弱性はCVE-2013-3307、CVE-2016-5681、CVE-2025-11837とされる。攻撃者はD-LinkやLinksysの古いルータに加え、QNAP NASも標的としてマルウェアを展開した。
配布されたAryStingerは多数のバージョンが存在し、簡易型の「RTL819X」と高機能型の「Standard」が発見されている。いずれもボットネットとして必要な機能を内包し、少なくとも次の攻撃が可能とされる。
- すべての送受信トラフィックの監視と窃取
- DNSトラフィックを改ざんし、被害環境のユーザーを悪意のあるWebサイトへ誘導する
- 第三者に対するサイバー攻撃の踏み台
さらにマルウェアに搭載された機能を用いることで、DNSリゾルバに対する分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)が可能と評価されている。この点についてBleeping Computerは「そのような攻撃は観察されていません」と述べ、DNSリゾルバーに対する攻撃の形跡はないと報告している。
影響と対策
奇安信のXLabチームが特定した被害地域は韓国(約48.45%)がトップ。これに中国(約31.82%)、スウェーデン(約6.4%)、マレーシア(約3.5%)、シンガポール(約2.5%)が続いた。
侵害が確認されたデバイス(原文ママ)は次のとおり。原文では複数モデルの割合が重複して集計されている可能性があるが、詳細な説明はない。
- DIR-850L(約75%)
- DIR-818LW(約13%)
- DIR-816L、DIR-818L、DWR-118、DIR-817LW(約1.3%)
- その他(約18%)
型式が公開されたこれらデバイスはサポート終了(EOL: End of Life)に達しており、ベンダーによるサポートは見込めない。Bleeping Computerはこれらデバイスを含む古いルーターを管理するユーザーに対し、ファームウェアのアップデート、デフォルトパスワードの変更、リモート管理パネルの無効化を推奨。加えてデバイスの使用中止および買い替えを提案している。
インシデント対応の現場で崩れ去る「おかしな前提」とは - 名和利男氏が語る、OTセキュリティの真の課題と「事業を止めない」ための構造設計
