「VPNFilter(ブイピーエヌフィルター)」と名付けたウイルス(マルウエア)が、54カ国で50万台以上のネットワーク機器に感染している――。米シスコシステムズのセキュリティ部門Talos(タロス)は米国時間2018年5月23日と6月6日、こう世間に注意を呼びかけた。
感染した機器はサイバー攻撃の踏み台に使われたり、システムを破壊されたりする恐れがある。通信内容を盗聴される危険性もある。VPNFilterの挙動は徐々に明らかにされているものの、現時点では感染経路は明らかにされていない。
ただ、機器で動作するソフトウエア(ファームウエア)の脆弱性や設定の不備を突いている可能性が高い。ネットワーク機器の管理者は、ファームウエアのアップデートや不要な機能の無効化といった基本的なセキュリティ対策をきちんと実施することが重要だ。
FBIまで注意喚起
Talosによると、2016年にはVPNFilterを確認し、調査を進めていたという。危険性が高まったのは2018年5月初めのこと。Talosでは、VPNFilterによるものと思われる、TCPポート 23、80、2000、8080へのスキャンを観測した。
これらのポートは、VPNFilterの感染対象になっているラトビアのミクロティク(MikroTik)のルーターや、台湾キューナップシステムズ(QNAP Systems)のNASが使用するポートだ。
慎重に調査を続けていたTalosに情報公開を決意させたのは5月8日。VPNFilterに感染した機器が急増したのだ。
新たに感染した機器の多くはウクライナに存在していたという。そしてこの時点までに、VPNFilterとBlackEnergyと呼ばれるウイルスでは、プログラム(コード)が部分的に一致していることが確認されていた。BlackEnergyは、2015年にウクライナの電力システムを襲ったウイルス。このウイルスにより、数万世帯が最大6時間にわたって停電した。
VPNFilterとBlackEnergyの類似性から、BlackEnergyと同様のサイバー攻撃が差し迫っている可能性があるとTalosは判断。VPNFilterの調査は完了していなかったものの、明らかになっている情報だけでも公開して注意喚起することにした。
情報公開の準備を進めていた5月17日、ウクライナでの感染機器の急増が再度観測された。このことで、さらに早く情報を公開するよう作業を進めたという。
そして5月23日、TalosはVPNFilterに関する最初のレポートを公開した。
