サポートが打ち切られたルーターやIoTデバイスを介してサイバー犯罪に使用される約4万件ものボットネットが発見される

テクノロジー企業「Lumen」のサイバーセキュリティー部門・Black Lotus Labsの研究チームが、サポートの終了したSOHOルーターとIoTデバイスを標的としたボットネットを約4万件発見したと報告しています。

The Darkside of TheMoon - Lumen
https://blog.lumen.com/the-darkside-of-themoon/

Researchers Discover 40,000-Strong EOL Router, IoT Botnet  - SecurityWeek
https://www.securityweek.com/researchers-discover-40000-strong-eol-router-iot-botnet/

Black Lotus Labsによると、世界各国のサイバー犯罪グループが、世界中に存在するSOHOルーターやIoTデバイスを標的としたキャンペーンを複数年にわたり展開しているとのこと。問題のボットネットが初めて確認されたのは2014年のことで、その後2024年2月時点で約4万件にまで拡大し、標的のデバイスで秘密裏に動作しているとBlack Lotus Labsは警告しています。

Black Lotus Labsは「これらのボットネットの大部分は、『Faceless』と呼ばれるサイバー犯罪グループ向けのプロキシサービスの基盤として使用されています。このボットネットによってFacelessの利用者数が週に7000人近くの割合で増加していることが、我々の調査で明らかになりました」と述べています。このFacelessは匿名性が高く、サイバー犯罪グループにとって活動を察知されないための不可欠なツールになっているとのこと。

Black Lotus Labsによると、サイバー犯罪グループはメーカーからのサポートが終了した古いデバイスにボットネットを侵入させ、Facelessのネットワークに登録していたそうです。研究者が特定したFacelessの論理マップの一部は2024年3月第1週に構築されており、72時間以内にASUS製ルーター6000台が標的になっていたこともわかりました。

サイバー犯罪グループは、既存のセキュリティ脆弱(ぜいじゃく)性にパッチが適用されない、メーカーからのサポートが打ち切られたデバイスを意図的に標的として選んでおり、Black Lotus Labsは「このような機器は設置したことを忘れていたり、接続されたまま放棄されている可能性があります」と指摘しています。

そのためBlack Lotus Labsは脆弱な認証情報や不審なログイン試行の兆候をいち早く察知することや、パスワードスプレー攻撃を実行するボットからデータや資産を保護するために、適切なファイアウォールを設定してボットによる攻撃をブロックすることを求めています。

加えて、Black Lotus Labsはルーターを定期的に再起動してセキュリティ更新プログラムとパッチのインストールを行うことや、デバイスが一般的なデフォルトパスワードを用いていないこと、ルーターの管理インターフェイスが適切に保護されていることを確認すべきと警告しています。また、デバイスのサポートが終了した場合、できるだけ速やかにデバイスを交換することを推奨しました。

◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください！Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください！

• Discord | "ルーターを買い替える頻度はどのくらい？どんな理由で買い替える？" | GIGAZINE(ギガジン)
https://discord.com/channels/1037961069903216680/1222839243034988607