2025年5月28日、アメリカのセキュリティ企業「GreyNoise Intelligence(グレイノイズ・インテリジェンス)」は、ASUS(台湾の大手電子機器メーカー)製のインターネット接続ルーターを標的とした大規模な不正アクセスキャンペーンの詳細を公表した。
この攻撃により、少なくとも約9,000台のルーターがすでに侵害されていることが確認されている。
高度な手口でバックドアを永続化
攻撃者は、ASUS製ルーターに対してインターネット上から不正にアクセスし、持続的なバックドアを設置。
再起動やファームウェアのアップデートを行っても削除されないよう、設定内容をルーターの不揮発性メモリ(NVRAM)に保存している。
なお、マルウェアのインストールは行わず、攻撃の痕跡を最小限に抑える手法が取られていた。
GreyNoiseによれば、攻撃者は以下のような手段を用いて不正アクセスを確立していた。
・ログインの総当たり攻撃(ブルートフォース攻撃)
・認証バイパス技術(未公表の手法を含む)
・コマンドインジェクション脆弱性「CVE-2023-39780」の悪用
・ASUS公式の設定機能を使ってSSH接続(ポートTCP/53282)を有効化
・攻撃者の公開鍵を追加し、遠隔操作を可能に
これらの操作により、ルーターの再起動やファームウェア更新後も攻撃者による制御が可能となる。
発見の経緯と技術的詳細
本活動は、GreyNoiseが独自に開発したAIベースのネットワーク解析ツール「Sift(シフト)」によって、2025年3月17日に異常なネットワーク通信として最初に検知された。
調査は翌3月18日に開始され、関係当局や業界パートナーとの調整を経て、5月28日に詳細が公開された。
同社は、ASUSルーターの実機を完全に再現したエミュレーション環境を利用し、実際の攻撃の再現やパケットキャプチャを通じて、攻撃の一連の流れを解明している。
確認された不正アクセスの流れ
1.初期アクセス:総当たり攻撃および2種の認証バイパス手法
2.コマンド実行:「CVE-2023-39780」を使った任意コマンドの実行
3.永続化:公式設定でSSHを有効化し、公開鍵を登録
4.ステルス性の確保:ログ記録を無効化、マルウェアを使用しない構成
規模と影響
インターネット上の資産を継続的に監視するCensys(アメリカのサイバー資産調査企業)のスキャンデータによると、2025年5月27日時点で約9,000台のASUSルーターがすでに侵害されており、その数は増加傾向にあるという。
一方で、GreyNoiseが運用する観測センサーでは、3か月間に関連通信がわずか30件しか観測されておらず、本攻撃が非常に秘匿性の高い手法で行われていたことを示している。
ASUSの対応状況
ASUSは、コマンドインジェクション脆弱性「CVE-2023-39780」に対する修正パッチをすでに提供済みである。
また、認証バイパスに関連する修正も行われているが、これらの手法には脆弱性識別番号(CVE)は付与されていない。
ただし、攻撃者がルーターに追加したSSH構成はファームウェア更新では削除されず、すでに侵害されていた場合には手動での確認と削除が必要となる。
推奨される対策として以下の内容が挙げられている。
・ASUSルーターのTCP/53282ポートでのSSHアクセスの有無を確認
・authorized_keysファイルに不審な公開鍵が含まれていないか精査
・該当IPアドレスをファイアウォールなどで遮断(101.99.91.151、101.99.94.173、79.141.163.179、111.90.146.237)
・不正アクセスが疑われる場合は初期化(工場出荷時リセット)と手動での再設定を実施
GreyNoiseは詳細な技術分析を公式ブログで公開しており、被害防止に向けた対応を呼びかけている。
【参考記事】
https://www.greynoise.io/
