ロシアやイランのデータセンターに設置されている、脆弱性を抱えたCisco Systems製のスイッチが現地時間4月6日にハッカーの攻撃を受けた。この攻撃は、アスキーアートによる米国国旗の画像と、「Don't mess with our elections」(われわれの選挙に手を出すな)というメッセージを残すものだったという。
Ciscoは3月、「Cisco Smart Install Client(CSIC)」搭載のソフトウェアが抱える重大な脆弱性に対処するパッチをリリースしていた。しかし今回の攻撃は、Ciscoが5日にセキュリティアラートを公表していた、Smart Installのプロトコルを悪用するものだった。
同社は脆弱性を抱えるSmart Install搭載スイッチに対するスキャンが急増している点を警告するとともに、国家が後ろ盾となっているハッカーらが上述のプロトコルを悪用し、重要なインフラを手がけるプロバイダーを攻撃しようとしていると述べていた。
同社はまた、Dragonflyという名で知られるロシアのハッカーグループによる重要なインフラへの攻撃を懸念する米コンピュータ緊急事態対策チーム(US-CERT)の最近のアドバイザリにも言及していた。
Ciscoの警告によると、ハッカーらはSmart Installクライアントに対してSmart Installプロトコルのメッセージを遠隔地から送信し、起動時に読み込まれる設定ファイルを書き換え、リロード機能を起動し、Ciscoのネットワーキングソフトウェア「Cisco IOS」の新しいイメージをロードさせることで、同スイッチに対してリモートコマンドを発行できるようになるという。
これは厳密な意味で脆弱性ではない。またCiscoは、3月にパッチを提供した、遠隔地からのコード実行に対するSmart Installの脆弱性を悪用する攻撃は確認されていないと述べた。
Kaspersky Labによると、何者かが今回の攻撃に用いるボットを開発したという。このボットは、インターネットに接続されているデバイスを検索できるエンジン「Shodan」を用いて、脆弱性を抱えるSmart Install搭載スイッチを見つけ出した後、Ciscoのセキュリティアラートに記されている手法で自動的に攻撃を実行するようになっているという。
このボットは、デバイスを見つけ出した後、設定ファイルを上書きし、名刺代わりとなる「Don't mess with our elections.... --JHT usafreedom_jht@tutanota.com」というメッセージを格納する。その結果、該当スイッチは使用不能になる。Kasperskyによると、主にロシアにおけるISPやデータセンターが攻撃対象になっているという。
上記の電子メールアドレスを使用している人物は、メディア企業ViceのニュースサイトMotherboardに対して、「国家が後ろ盾となっているハッカーたちによる、米国をはじめとする国々に対する攻撃にはうんざりしていた(中略)われわれはメッセージを送りたかっただけだ」と述べた。
このハッカーらは、脆弱性を抱えているCiscoのスイッチを特定するために多くの国々のデバイスをスキャンしているが、攻撃はロシアとイランのデバイスに限定していると述べた。またハッカーらは、米国と英国に存在するセキュアではない設定のスイッチを修正してきているとも主張した。
CiscoのTalos Intelligence Groupにおける研究者らの見積もりでは、設定がセキュアになっていないSmart Install搭載スイッチは、およそ16万8000台あるという。同社は、Smart Installが使用するポートへのスキャンが2017年11月以降に大幅に増えたため、警告を発していた。
Reutersによると、イランの通信情報技術省は、同国にある約3500台のCisco製スイッチがこの攻撃の影響を受けたと述べたという。
イランのMJ Azari Jahromi通信情報技術相は、影響を受けたスイッチの95%が7日までに復旧したことをツイートで明らかにした。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
