Thousands of consumer routers hacked by Russia’s military
> Source: Ars_Technica
Execute Primary Source
// Problem
サポート終了(EOL)を迎えたSOHO向けルーターの脆弱性が、大規模な攻撃基盤として悪用されている。ネットワークの境界となるルーターが制御されることで、接続デバイスのDNS設定が書き換えられ、従来の多要素認証(MFA)を無効化するセッション情報の窃取が可能となる点が極めて深刻である。
// Approach
攻撃者は脆弱なルーターを掌握した後、DNS設定を改ざんし、DHCPを通じて接続端末へ設定を拡散させる。特定の認証関連ドメインへの通信のみをプロキシ経由に誘導する手法を用い、自己署名証明書による中間者攻撃(AitM)を実行。ユーザーが警告を無視した場合、MFA通過後のOAuthトークンを直接窃取する。
// Result
120カ国に及ぶ広範囲なインフラが構築され、Microsoft 365等の重要サービスへのアクセス権が奪取されている。攻撃者は検知を避けるため、特定のドメインのみを標的とするなど、高度な隠蔽工作を行っている。EOL機器の管理不足が、組織全体のセキュリティを崩壊させるリスクが浮き彫りとなった。
Senior Engineer Insight
> ネットワーク境界の信頼性を前提とした設計の限界を露呈している。MFAを突破してOAuthトークンを奪う手法は、セッション管理の脆弱性を突くものであり、ゼロトラスト・アーキテクチャへの移行が急務であることを示唆している。現場としては、リモートワーク環境におけるエンドポイントのデバイスポスチャ管理(EOL機器の排除)と、ネットワーク層に依存しない認証プロトコルの厳格な運用が不可欠だ。ユーザーの「警告無視」に頼る運用は、技術的な防壁としては極めて脆弱である。インフラ管理において、エッジデバイスのライフサイクル管理を徹底せよ。