バックドアが仕込まれた？ 日米の当局が警鐘を鳴らす「危ないルーター」：730th Lap

企業へのランサムウェア攻撃もさることながら、国家間のサイバー攻撃も盛んだ。FBIや日本の当局はある有名ベンダーのルーターにバックドアが仕込まれていると警鐘を鳴らした。

[キーマンズネット]

　FBI（連邦捜査局）とNSA（国家安全保障局）、CISA（サイバーセキュリティ・社会基盤安全保障庁）、そして日本のNISC（内閣サイバーセキュリティセンター）が、あるサイバー攻撃に対して合同で注意喚起し、警鐘を鳴らした。

　何でも、ある有名ベンダーのルーターがハッカー集団の標的となり、バックドアが仕込まれたという。各国の当局が騒いでいる、“危ない”ルーターとは？

　問題となった注意喚起の内容とは、中国政府から支援を受けていると思われるハッカー集団「BlackTech」によるサイバー攻撃に対するものだ。

　日米の組織が合同で警告するのは珍しいことであり、多くのメディアがこの異様な事態を報道した。Tech系ニュースサイト「Ars Technica」もそのメディアの一つだ。2023年9月28日に注意喚起の内容について詳しく報道した。

　それによると、BlackTechは「Palmerworm」「Temp.Overboard」「Circuit Panda」「Radio Panda」などの名称で、少なくとも2010年からスパイ活動を続けてきたという。米国をはじめ、日本や台湾、香港といった東アジア諸国の企業に対してサイバー攻撃によるスパイ活動を行ってきた。

　各国の当局はそれぞれBlackTechを追跡しながら手口を調べ、その脅威を広く認識してもらうために今回の注意喚起に踏み切ったという。注意喚起では、BlackTechの手口を次のように解説されている。

　まず、インターネットに接続された機器の脆弱（ぜいじゃく）性を調べて、ファームウェアを書き換える。その後、設定の変更やログを隠蔽（いんぺい）するなどしてバックドアを仕込む。標的となるのは企業の支社にあるルーターだ。本社よりもセキュリティ対策が甘いルーターを乗っ取ることで、本社との通信を傍受したり、社内ネットワークに攻撃を仕掛けたりできるためだ。

　NISCは、バックドアが仕込まれたのはCisco製のルーターだと明言する。ファームウェアを改変し、細工したTCP／UDPパケットを送信することでSSHバックドアを有効化／無効化することも可能になり、Cisco製ルーターに搭載されるセキュアブート機能「ROMモニター」にある署名検証機能も回避できるという。

　注意喚起の中では、対策方法が提示された。詳細は割愛するが、割と一般的なネットワークセキュリティ対策で、実際にBlackTechにルーターが侵害されているかどうかを確認できるものではないようだ。

　注意喚起で名指しされたCiscoはリリースで「BlackTechがCisco製品の脆弱性を悪用したのではなく、ルーター管理者の資格情報を盗んで攻撃した」のだと主張する。自社製品に弱点があったとは認めていない。さらに「指摘されたファームウェアの書き換え攻撃は古い製品のみで可能。最新製品では不正なファームウェアを防ぐセキュアブート機能が搭載されている」ともしている。

　BlackTechはCisco製ルーターだけを狙っているわけではないが、十分な注意が必要なのは間違いなさそうだ。もし、古いCisco製品を使っていてBlackTechのやり口に脅威を感じているのであれば、新製品に買い換えるのが最適解なのかもしれない。

上司X：　中国政府の息がかかったハッカー集団が、Cisco製のルーターにバックドアを仕掛けて情報を盗み出している、という話だよ。

ブラックピット：　BlackTech！　なかなかブラックそうなハッカー集団名ですね。

上司X：　名称は、まあ、いいよ。今回、指摘されたルーターのファームウェアをどうこうして攻撃するというのはよくある手法だな。

ブラックピット：　家庭用のルーターは、管理者のIDとパスワードが出荷時のままだとハッキングされやすい、というヤツですよね。

上司X：　そう。でも、最近では家庭用ルーターでも出荷時のIDとパスがユニークになってることも多いから、そこまで脅威ではないと思うけど。古い製品を使っているのなら注意した方がいいかもしれんが。

ブラックピット：　というか、そもそもCiscoみたいな企業向けのルーターが外部から簡単にバックドアを仕込まれるって、考えにくい気がするんですが。

上司X：　でも、そういう事実があったってことよね。Cisco自体はあんまり認めてないみたいだけど。せめて、モデル名やリリース時期は明示した方が良い気もするけどね。

ブラックピット：　確かに「Cisco製」でひとくくりにされたら、ベンダーもたまったもんじゃないですよね。日米の当局が一斉に「警戒しろ！」と言い出すのは珍しいですから、深刻度は高そうですけど。

上司X：　まあ、実際のところ具体的な被害や、ハッカー集団が捕まったとかそういう話はなくて、あくまで注意喚起だけだからよく分からんところもあるけどな。名指しされたCiscoは納得いかないだろうけど、この件で企業のセキュリティ意識がさらに高まれば何よりだと思うよ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。