再起動しても消えない「見えない侵入者」が約9000台を制御中
家庭用・小規模オフィス向けに人気のあるASUS製ルーターが、極めて巧妙なサイバー攻撃の標的となっていることが明らかになりました。
攻撃者は一度ルーターに侵入すると、再起動やファームウェアの更新を行っても痕跡を残さずに“永続的なバックドア”を維持できる仕組みを導入しており、既に世界中で約9000台以上が感染していると報告されています。
🚨 何が起きているのか?|攻撃の概要
この攻撃は国家規模、または十分な資金力を持つ脅威アクターによって仕掛けられており、以下のような手口が明らかになっています。
攻撃のステップ:
- ✅ CVE-2023-39780などの既知/非公開の脆弱性を悪用し、ルーターに侵入
- 🔐 ルーター内部にSSH公開鍵を設置し、特定の秘密鍵を持つ人物だけが管理者としてログイン可能に
- 🔄 再起動・アップデートをしても削除されない“永続的”なバックドアを構築
- 👻 攻撃者は目立たずにルーターを遠隔制御可能
🧠 発見元:この攻撃を発見・報告したのはセキュリティ企業GreyNoise
🛰️ 被害端末は全世界で9000台以上と推定され、現在も増加中
🕳️ バックドアの正体とその危険性
🧩「CVE-2023-39780」とは?
- コマンドインジェクションの脆弱性
- 正規のユーザー権限を持たずに、システムコマンドを実行できる危険な欠陥
- ASUSはこの問題に対応済みですが、なぜかCVE番号の正式登録はされていません
⚙️ 攻撃の特徴
| 特徴 | 詳細 |
|---|---|
| 💣 永続性 | 再起動・ファーム更新後も消えない |
| 🕶️ ステルス性 | 明確な痕跡を残さず長期間潜伏可能 |
| 🔐 SSH侵入 | 専用鍵を使った隠密ログインが可能に |
| 🔎 ローカルに影響 | 設定や履歴、Cookieなども操作可能性 |
🧭 どうやって見分ける?|感染チェック方法
以下の確認ポイントで、自身のASUSルーターが影響を受けているかどうかをチェックできます。
✅ チェック方法:
- ルーターの設定パネルを開く
- 「SSHの設定」項目を確認
→ ポート53282を使用したSSHが有効になっていれば要注意 - システムログ(管理画面内)で以下のIPアドレスのアクセス履歴があるか確認
101.99.91.151101.99.94.17379.141.163.179111.90.146.237
🧹 対処法:
- 不審なSSH公開鍵の削除
- ポート53282の通信制限
- 可能であれば初期化(工場リセット)と最新ファームウェアの適用
🕵️ 背景にある「ViciousTrap」攻撃キャンペーンとは?
セキュリティ企業Sekoiaは、今回の攻撃が「ViciousTrap」と呼ばれる大規模サイバーキャンペーンの一部であると報告しています。
🔍 インターネットスキャンを行うCensysによると、最大9500台のASUSルーターが感染している可能性があるとのこと。
このような攻撃は、単に今すぐの利益を狙うものではなく、**将来的なサイバー攻撃(DDoS、情報傍受、スパイ活動など)に利用するための“準備段階”**であると考えられています。
⚠️ 現時点での被害状況と注意点
被害の深刻度:
| 項目 | 状況 |
|---|---|
| 🧪 感染数 | 約9,000〜9,500台(継続増加中) |
| 🛑 被害の兆候 | 今のところ明確な“悪用”は確認されていない |
| 🧭 目的推定 | 将来的な大規模攻撃の準備 |
| 🧯 緊急度 | 高(永続性あり・ルーター制御される危険性) |
🔐 まとめ|家庭やSOHOのルーターも“標的になる時代”
「うちは一般家庭だから大丈夫」──そんな考え方は、もはや通用しません。
ASUS製ルーターのような一般向けデバイスでも、国家レベルまたは高度な資金力を持つ攻撃者に狙われる時代です。
📌 今すぐできる対策チェックリスト
✅ 管理画面でSSHの設定確認
✅ 不審なログイン履歴/IPのチェック
✅ ファームウェアの最新状態の維持
✅ 不要な外部ポートの閉鎖
✅ 定期的な再起動&設定確認の習慣化
