亜種出現:「閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。」
前回のルーターへの攻撃:「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」の亜種のマルウエアの出現です。相変わらず、日本語としては少々「変」です。
・表示される日本語の文言だけが変更されています。(ko,zh-cn,zh-twの場合は同じ。)
・ダウンロードされるファイルがfacebook.apkからchrome.apkに変更されています。
・ダウンロードされるファイルがAndroidOS.FakeApp.AやAndroid/Adware.AirPush.Aの様な
名称の不正プログラムとして検出されます。(Android用セキュリティソフトがあった場合。)
「Wi-Fi ルータの DNS 情報の書換え後に発生する事象について」(NICTER Blog)追記あり
「「Netcommunity OG シリーズ」におけるインターネット接続不可事象について(PDF)」(NTT-East)追記あり
「「Netcommunity OGシリーズ」におけるインターネット接続不可事象について(PDF)」(NTT-West)追記あり
「続報:ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認」
(トレンドマイクロ)
これ、アドウエアを装ったマルウエア、しかもフィッシング目的、と、かなり悪質なものです。
いまのところ判っている対象は、Logitec製のルーター、メルコ製の一部のルーター、
それにNTTが今回アナウンスしているNEC製のルーター、第二段階ではAndroidです。
NTT東西とも、PDF版のアナウンスに対処方法が追記されています。
(手元に該当機器がないので、同様の構成のNEC製のルーターの画面を貼っておきます。)
1.DNSアドレスが書き換えられていないかどうかを確認、必要なら元に戻しましょう。
LAN側の設定、「ネームサーバ」のところです。自動取得の場合は空白のはずです。
WAN側のPPPoE、「ネームサーバ」のところです。自動取得の場合は空白のはずです。
プロバイダから指定されている場合は、プロバイダの契約確認書等にも書かれています。
また、プロバイダのユーザー向けの設定ガイドに書かれている場合もあります。
2.ステルスモードを有効にしましょう。
WAN側のPPPoE(上の画面と同じところ)、「ステルスモード」が無効なら、有効にします。
旧仕様の画面の場合は「拡張設定」の「PING応答機能」を不使用にしてあれば良いです。
ついでですから、無線LAN側も無効になっていたら、有効にしておくと良いです。
(無効になっていると、無理に接続を試みようとするチャレンジャーが現れるかも。)
上の画面の例だと、「ESS-IDステルス機能(SSIDの隠蔽)」のところです。
3.管理者パスワードを取扱説明書にある出荷時の初期値以外のものに変更しましょう。
本来なら、設置時や設定初期化の直後に、最初にしておくべきことです。
# パスワードを(毎月1日など)定期的に変更するのは、判りやすくて、好ましくないです。
# パスワードの末尾に「年月」を付けるのも、推測されやすいので、好ましくないです。
# 変更する周期に幅を持たせる位の事はしましょう。また、数字を入れるなら、途中に。
(実際「pass201712」「root201801」の様な形式のパスワードを使用している例がありました。)
(以上)