コンシューマールーターのセキュリティはかなり悪いです。攻撃者は、不十分なメーカーを利用して、大量のルーターを攻撃しています。ルーターが危険にさらされているかどうかを確認する方法は次のとおりです。
ホームルーター市場は非常に似ています Androidスマートフォン市場 。メーカーは多数の異なるデバイスを製造しており、それらを更新することを気にせず、攻撃にさらされています。
ルーターがダークサイドに参加する方法
関連: DNSとは何ですか?別のDNSサーバーを使用する必要がありますか?
攻撃者はしばしば変更しようとします DNS 悪意のあるDNSサーバーを指すルーターのサーバー設定。銀行のウェブサイトなどのウェブサイトに接続しようとすると、悪意のあるDNSサーバーが代わりにフィッシングサイトにアクセスするように指示します。アドレスバーにbankofamerica.comと表示されている場合もありますが、フィッシングサイトにアクセスします。悪意のあるDNSサーバーは、必ずしもすべてのクエリに応答するとは限りません。ほとんどのリクエストでタイムアウトし、クエリをISPのデフォルトのDNSサーバーにリダイレクトするだけの場合があります。異常に遅いDNS要求は、感染している可能性があることを示しています。
目の鋭い人は、そのようなフィッシングサイトにHTTPS暗号化がないことに気付くかもしれませんが、多くの人は気付かないでしょう。 SSLストリッピング攻撃 転送中の暗号化を削除することもできます。
攻撃者は、広告を挿入したり、検索結果をリダイレクトしたり、ドライブバイダウンロードのインストールを試みたりすることもあります。彼らは、ほぼすべてのWebサイトが使用するGoogle Analyticsまたはその他のスクリプトのリクエストをキャプチャし、代わりに広告を挿入するスクリプトを提供するサーバーにリダイレクトできます。 How-ToGeekやNewYork Timesなどの合法的なウェブサイトにポルノ広告が表示されている場合は、ルーターまたはコンピューター自体のいずれかで、ほぼ確実に何かに感染しています。
多くの攻撃は、クロスサイトリクエストフォージェリ(CSRF)攻撃を利用しています。攻撃者は悪意のあるJavaScriptをWebページに埋め込み、そのJavaScriptがルーターのWebベースの管理ページをロードして設定を変更しようとします。 JavaScriptはローカルネットワーク内のデバイスで実行されているため、コードはネットワーク内でのみ利用可能なウェブインターフェースにアクセスできます。
一部のルーターでは、リモート管理インターフェースがデフォルトのユーザー名とパスワードとともにアクティブ化されている場合があります。ボットはインターネット上でそのようなルーターをスキャンしてアクセスできます。他のエクスプロイトは、他のルーターの問題を利用できます。たとえば、UPnPは多くのルーターで脆弱であるようです。
確認方法
関連: ルーターのWebインターフェイスで構成できる10の便利なオプション
ルーターが侵害されたことを示す1つの兆候は、DNSサーバーが変更されたことです。ルーターのウェブベースのインターフェースにアクセスして、DNSサーバーの設定を確認することをお勧めします。
まず、次のことを行う必要があります ルーターのウェブベースのセットアップページにアクセスする 。ネットワーク接続のゲートウェイアドレスを確認するか、ルーターのドキュメントを参照して方法を確認してください。
ルーターのユーザー名でサインインし、 パスワード 、 必要ならば。多くの場合、WANまたはインターネット接続の設定画面で、どこかで「DNS」設定を探します。 「自動」に設定されている場合は問題ありません。ISPから取得しています。 「手動」に設定されていて、そこにカスタムDNSサーバーが入力されている場合は、問題になる可能性があります。
使用するようにルーターを構成していれば問題ありません 優れた代替DNSサーバー —たとえば、Google DNSの場合は8.8.8.8と8.8.4.4、OpenDNSの場合は208.67.222.222と208.67.220.220です。ただし、認識できないDNSサーバーがそこにある場合は、マルウェアがDNSサーバーを使用するようにルーターを変更したことを示しています。疑わしい場合は、DNSサーバーアドレスのウェブ検索を実行して、それらが正当であるかどうかを確認してください。 「0.0.0.0」のようなもので問題ありません。多くの場合、フィールドが空であり、ルーターが代わりにDNSサーバーを自動的に取得していることを意味します。
専門家は、ルーターが危険にさらされているかどうかを確認するために、この設定を時々チェックすることをお勧めします。
ヘルプ、悪意のあるDNSサーバーがあります!
ここで悪意のあるDNSサーバーが構成されている場合は、それを無効にして、ISPの自動DNSサーバーを使用するようにルーターに指示するか、GoogleDNSやOpenDNSなどの正当なDNSサーバーのアドレスをここに入力できます。
ここに悪意のあるDNSサーバーが入力されている場合は、念のため、ルーターの設定をすべて消去し、工場出荷時の状態にリセットしてから再度設定することをお勧めします。次に、以下のトリックを使用して、ルーターをさらなる攻撃から保護します。
攻撃に対するルーターの強化
関連: ワイヤレスルーターを保護する:今すぐできる8つのこと
あなたは確かにできます これらの攻撃に対してルーターを強化する —やや。ルーターにメーカーがパッチを適用していないセキュリティホールがある場合、ルーターを完全に保護することはできません。
- ファームウェアアップデートをインストールする : え ルーターの最新のファームウェアがインストールされていることを確認します 。ルーターが提供している場合は、ファームウェアの自動更新を有効にします。残念ながら、ほとんどのルーターは提供していません。これにより、少なくとも、パッチが適用された欠陥から確実に保護されます。
- リモートアクセスを無効にする :ルーターのWebベースの管理ページへのリモートアクセスを無効にします。
- パスワードを変更する :パスワードをルーターのウェブベースの管理インターフェースに変更して、攻撃者がデフォルトのパスワードを使用できないようにします。
- UPnPをオフにします : UPnPは特に脆弱です 。 UPnPがルーターに対して脆弱でなくても、ローカルネットワーク内のどこかで実行されているマルウェアがUPnPを使用してDNSサーバーを変更する可能性があります。これがUPnPの仕組みです。ローカルネットワーク内からのすべてのリクエストを信頼します。
DNSSEC 追加のセキュリティを提供することになっていますが、ここでは万能薬ではありません。現実の世界では、すべてのクライアントオペレーティングシステムは、構成されたDNSサーバーを信頼するだけです。悪意のあるDNSサーバーは、DNSレコードにDNSSEC情報がない、またはDNSSEC情報があり、渡されるIPアドレスが実際のものであると主張する可能性があります。
画像クレジット: Flickrのnrkbeta
