ルーターのDNSハッキングによりユーザーがCOVID-19マルウェアに感染したため、LinksysはスマートWi-Fiアカウントのパスワードリセットを強制

Table of Contents

ルーターのDNSハッキングによりユーザーがCOVID-19マルウェアに感染したため、LinksysはスマートWi-Fiアカウントのパスワードリセットを強制

ルーター事業を展開するLinksysは、サイバー犯罪者が大量のアカウントにアクセスし、不運なユーザーをCOVID-19をテーマにしたマルウェアにリダイレクトしたことを受けて、全顧客のスマートWi-Fiアカウントのパスワードをリセットした。

この大規模なリセットは、情報セキュリティ企業のBitdefenderが、悪意のある人物がクレデンシャルスタッフィング攻撃を通じてLinksysデバイスを乗っ取っていると明らかにしたことを受けて、4月2日にすべてのユーザーアカウントがロックされた後に行われた。

Linksys Smart Wi-Fiアカウントにアクセスできるハッカーが、家庭用ルーターのDNSサーバー設定を変更していました。侵入されたユーザーがディズニー、ポルノ、Amazon AWSといったドメインにアクセスしようとすると、コロナウイルスをテーマにしたアプリを販売するウェブページにリダイレクトされました。このアプリは「世界保健機関(WHO)からのメッセージと称し、COVID-19に関する指示や情報を提供するアプリをダウンロードしてインストールするようユーザーに促す」ものでした。

このアプリは、GitスタイルのコラボレーションツールであるBitbucketでホストされていました。健康に関するアドバイスを提供する代わりに、Oskiという情報窃取マルウェアを配布し、暗号通貨ウォレットを含む様々なサービスのログイン情報を盗み出します。

Linksysの顧客は、今週初めに同社からパスワードのリセットについて通知を受け、「COVID-19マルウェア」という不可解で紛らわしい表現を目にしました。影響を受けたユーザーは、Linksys Smart Wi-Fiアプリに次回ログインする際にパスワードを変更する必要があります。

リンクシスの親会社ベルキンのグローバル広報担当ジェン・ウェイ・ウォーレン氏は、ザ・レジスターに対し、クラウドホスト型スマートWi-Fiアカウントを通じた顧客ルーターへの最初の不正アクセスは、他の場所での以前の侵入から収集されたログイン詳細を使用した、クレデンシャルスタッフィングの試みが成功したものだと語った。

彼女は次のように述べた。「複数の要因から、認証情報は他の場所で盗まれたという結論に至りました。認証リクエストの大半には、当社のシステムに登録したことのないユーザー名が含まれていました。haveibeenpwned.comなどのサービスでメールアドレスを調べたところ、システム上で試行された認証情報のリストは以前に漏洩したことがあると判明しました。」

スパム

スパム業者がUPnPの脆弱性を利用して10万台の家庭用ルーターをハッキングし、メール攻撃ボットネットを構築

続きを読む

ウェイ・ウォーレン氏はさらに、「同じユーザー名だが異なるパスワードを使って複数回の攻撃が行われたが、我々のシステムが侵害されていた場合にはこのような攻撃は必要ない」と付け加えた。

彼女は、詳細を明かさない「プライバシー上の理由」を理由に、パスワードリセットによって何人のユーザーが影響を受けたのかを明かすことを拒否した。

レジスター紙の読者が、今週Linksysの顧客に送られたメールのコピーを見せてくれた。そこにはこう書かれていた。「Linksys Smart Wi-Fiの全アカウントは、4月2日午後8時(太平洋夏時間)にロックされました。これは、誰かが他のウェブサイトから盗んだメールアドレスとパスワードの組み合わせでログインしたためです。」

続けて、「あなたのアカウントは不正アクセスされていませんが、万全を期すため、不正アクセスを防ぐためロックしました。ロック後にパスワードを変更していない限り、再度ログインするにはパスワードを変更する必要があります。」と記載されていました。

リンクシスはデータ漏洩に関するQ&Aページで、少し詳しく説明しています。「『COVID-19 Inform App』をダウンロードした場合、ネットワークが感染しています。ネットワークへのさらなる影響を防ぐため、できるだけ早くこのアプリを削除してください。」

読者のベンさんは、Linksysが株式公開する前の「数日間」アカウントにログインできなかったと語り、こう付け加えた。「(パスワード変更の義務化で)今や誰もがログインして認証情報をリセットしなければならない状況になっています。その後、ウェブサイトにログインすると、接続しているルーターのDNS設定が変更されていないか確認するために、自動的にルーターのセキュリティスキャンが開始されます。変更されている場合は通知されます。フェアプレーですね!」

パスワードリセットを通知するメッセージがlinksys-dot-comから送信されていなかったという事実は、社会の混乱をさらに深めました。Linksysからのメールには「パスワードをリセットするにはここをクリック」という促しが添えられていましたが、Twitter上の情報セキュリティに関心のあるユーザーから疑問の声が上がり、結果として同社はメールがlinksys-email-dot-comから送信されたことを確認しました。

(1/2)デイブさん、ご心配をおかけしました。このメールが[email protected]から送信されたものかどうか確認させてください。もしそうであれば、そのメールは正確です。先日発生したCOVID-19関連のハッキング被害を受け、Linksys Smart Wi-Fiをご利用のすべてのお客様にパスワードの変更をお願いしております。

— LinksysCares (@LinksysCares) 2020年4月14日

2017 年に、Linksys ルーターに、ボットネット ノードに悪用される可能性のある欠陥があることが判明しました。®

Discover More