Symantec、新たなファーミングの手口を警告

セキュリティ製品ベンダー Symantec (NASDAQ:SYMC) は15日、ブロードバンドルーターのユーザーに対し、新たな脅威の可能性について警告を発した。一般家庭向けルーターの内部設定を改竄し、ユーザーを偽装 Web サイトに誘導するという。

Symantec の研究員で、この問題の概念実証コード作成にも関わった Zulfikar Ramzan 氏は、「この攻撃は深刻な結果を招き、影響を受けるユーザーは全世界に数え切れないほど存在する」と憂慮を示した。

同氏はこの手口について、「ドライブバイ (立ち寄り型) ファーミング」と呼んでいる。標的になるのは、ブロードバンド接続の設定を行なった後で、ルーターのパスワードを初期設定のまま変更しない消費者だ。Symantec によると、全米でブロードバンドを利用している家庭は約8000万世帯あり、そのうち最大で50％がパスワードを変更していない可能性があるという。

Symantec のセキュリティ対策チームで上級研究員を務める Ramzan 氏は取材に対して、この問題を悪用するには JavaScript で記述した1行のコードだけで済み、あらゆるルーターに有効だとして「インターネットの基盤そのものが、脅威に晒されている」と語った。

Ramzan 氏は今回の警告を発する2か月ほど前から、インディアナ大学の研究者らと協力して、概念実証に関し詳細な研究を行なってきた。

攻撃の具体的な内容だが、攻撃者が用意した DNS サーバーを参照するようルーターの設定を書き換えることで、例えば銀行サイトに「正しい URL」でアクセスしても、攻撃者の偽サイトに接続してしまうといった事態が発生する。ルーターの設定変更は、JavaScript によって行なうことができ、特別なリンクをクリックしたりソフトウェアをダウンロードしなくとも、このコードを仕込んだ Web サイトにアクセスするだけで、ルーターの設定変更が可能という。

ルーターの設定書き換えに用いるのは、デフォルトの管理用パスワードだ。Cisco Systems (NASDAQ:CSCO) 傘下の Linksys をはじめ、D-Link や NETGEAR (NASDAQ:NTGR) など大手も、一般消費者向けルーターの管理用パスワードとして、出荷時に特定の言葉を設定している。デフォルトのパスワードが何かという情報は、容易に入手することが可能だ。