サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

パスワードスプレー攻撃でTP-Link製ルーターが狙われる!中国発サイバー攻撃の実態と対策

中国のハッカー集団による大規模攻撃の実態

Microsoftの報告によると、2023年8月以降、中国のハッカー集団「CovertNetwork-1658」(別名xloginやQuad7)による大規模なサイバー攻撃が確認されています。この攻撃では、主にTP-Link製のルーターが標的となっており、約8,000台ものデバイスが悪用されているとされています。

攻撃者たちは、小規模オフィスやホームオフィス(SOHO)向けのルーターを狙い、その脆弱性を悪用して遠隔制御を行っています。これにより、パスワードスプレー攻撃と呼ばれる手法を用いて、企業や組織の重要な資格情報を盗み出そうとしているのです。

パスワードスプレー攻撃とは?

パスワードスプレー攻撃は、サイバー攻撃の一種で、多数のユーザーアカウントに対して少数の一般的なパスワードを試す手法です。この攻撃方法は、一つのアカウントに対して多数のパスワードを試すブルートフォース攻撃とは異なり、検出されにくいという特徴があります。

CovertNetwork-1658の場合、1日に1回程度の試行を行うことで、通常の失敗したログイン試行と区別がつきにくくなっています。これにより、セキュリティシステムの検知を巧妙に回避しているのです。

攻撃の影響と標的

この攻撃によって取得された資格情報は、複数の中国系脅威アクターによって利用されていると考えられています。特に「Storm-0940」と呼ばれる集団は、北米や欧州のシンクタンク、政府機関、非政府組織、法律事務所、防衛産業を標的としています。

彼らの目的は、国家機密や知的財産、戦略的情報の入手にあると見られています。このような高度な標的型攻撃は、単なる個人情報の窃取にとどまらず、国家レベルの安全保障にも影響を及ぼす可能性があります。

攻撃者の手口と侵害されたルーターの悪用方法

CovertNetwork-1658は、侵害したルーターを以下のような手順で悪用しています:

  1. Telnetバイナリのダウンロード
  2. バックドアの設定
  3. SOCKS5サーバーの起動
  4. プロキシネットワークの形成

これらの手順により、攻撃者は侵害したルーターを自由に操り、パスワードスプレー攻撃の拠点として利用することができます。さらに、IPアドレスを頻繁に変更することで、追跡を困難にしています。

まとめ

TP-Link製ルーターを狙った中国発のサイバー攻撃は、その規模と巧妙さから、個人ユーザーから大企業、政府機関まで幅広い脅威となっています。この事例は、IoTデバイスのセキュリティの重要性を改めて示すものと言えるでしょう。

ユーザーは、自宅や小規模オフィスのネットワーク機器であっても、常に最新のセキュリティアップデートを適用し、強固なパスワードを設定するなど、基本的なセキュリティ対策を怠らないことが重要です。

私たち一人一人が、自身の環境を守るために意識を高め、適切な対策を講じることが、安全なデジタル社会の実現につながるのです。

Japan Cyber Security Inc. All Rights Reserved.