NTT ルーターにサイバー攻撃を受け接続不具合




東日本電信電話株式会社によると同社が販売する、ひかり電話オフィスA(エース)/ひかり電話オフィスタイプ対応アダプター「Netcommunity OGシリーズ(以下、本機器)」のセキュリティ設定を無効にしている場合に、本機器に接続した端末(PC等)からWebサイト等を閲覧しようとすると、「Facebook拡張ツールバックを取り付けて安全性及び使用流暢性を向上します」というメッセージが出てインターネット接続ができなくなるという事象が発生しているとして注意を促しています。

なお、本事象が発生している場合は、利用機器の設定を変更することで解消するとしています。

本機器を安全に利用するための基本的対策として、機器設定用ログインパスワードの変更及び、セキュリティ設定を有効にすることとして本機器を利用のユーザーは今一度設定内容をご確認してほしいと呼びかけています。

【対象機器
ひかり電話オフィスA(エース)/ひかり電話オフィスタイプ対応アダプター

Netcommunity OG410Xa
Netcommunity OG410Xi
Netcommunity OG810Xa
Netcommunity OG810Xi
(ファームウェアバージョンは最新版2.20(2017年12月18日提供)を含む全バージョンが対象)
2.発生条件
以下の条件を満たす場合に発生する可能性があります。

(1)本機器をインターネット接続用途で利用している場合。
(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。
(3)機器設定用ログインパスワードを初期値より変更していない場合。
3.発生事象
本機器に接続した端末(PC等)からWebサイト等を閲覧しようとすると、「Facebook拡張ツールバックを取り付けて安全性及び使用流暢性を向上します」というメッセージが出てインターネット接続ができなくなります。(メッセージが表示された場合、「OK」を押さないようにしてください。)

【対処方法
ご利用機器の設定変更により解消します。

設定変更の方法については、下記の窓口にお問い合わせください。

【機器の設定に関するお問い合わせ先】
通信機器お取り扱い相談センタ
フリーアクセス:0120-970413(03-5667-7100※)
※携帯電話・PHS・050IP電話用 通話料金がかかります。
受付時間 9:00~17:00
ただし、年末年始(12月29日~1月3日)を除く。
【故障受付窓口の連絡先】
フレッツの故障 0120-000113 (24時間受付)
※携帯電話・PHS・弊社以外の固定電話からもかけられます。
※17:00~翌日9:00までは録音にて受付しており順次対応いたします。

 

詳細;東日本電信電話株式会社

[追記 17:22]

上記記事について詳細を追記します。

■攻撃手法を詳しく
今回のサイバー攻撃は一言でいうと攻撃者がルーターに侵入しDNSサーバーのアドレスを変更するというものでした。DNSサーバーのアドレスの書き換え自体は古典的な攻撃手法ですが、今回、ここまで被害が大きくなったのはある企業のシェアが巨大な部品にありました。実は我々が日ごろ使っているルーターにはネットワークインターフェースという通信用の部品が必ず入っていますが、その部品のほとんどがRealtekという会社のもの。そのためいろんな製品のルーターが攻撃対象になっています。この企業が提供する開発キットSDKありこれを使って各ルーターメーカーは開発していますがこのRealtek SDKに脆弱性があったようです。

※「Realtek SDK Miniigd AddPortMapping SOAP アクション・コマンドのインジェクション (CVE-2014-8361)」

上記脆弱性を解説すると、脆弱性は、miniigd SOAP サービスへの NewInternalClient リクエストを処理する際、ユーザ入力データの入力が十分にサニタイズされない問題、つまりNewInternalClientというリクエストに付属するユーザー文字列の中に、root権限のコマンドを埋め込めこんでroot権限でコマンドを実行するとルーターの設定を変更できてしまうというものだそうです。UPnPプロトコル(52869/TCP)をクローズドにしていれば上記コマンドを投げ込むことはできないのですがほとんどの機器は通常、オープンで設定されているようです。

今回のサイバー攻撃はこの脆弱性を悪用し攻撃者がDNSサーバーのアドレスを書き換えて攻撃者の指定するサーバー(「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセージが出るWEBサーバー)へ誘導されてしまっています。

上記メッセージが出た後apkファイルがダウンロードされますがapkファイルはandroid用のインストーラーなので、android端末だけが脅威になります。

【対応策】

1)ルーターのDNSサーバーが書き換えられているので一度、ルーターを初期化する、DNSサーバーの設定を元に戻してあげれば、インターネットにつながるようになります。

2)apkファイルは絶対にandroid端末に「インストール」してはいけません。

脆弱性自体は2013年のものなので、ルーターのファームウェアのアップデートを行ってください。

そしてUPnPをあらたっめて無効にしてください。

<