一般家庭や小規模オフィスの片隅で静かに稼働しているWi-Fiルーター。その「デジタルな玄関口」が今、国際的なサイバー諜報活動の最前線となっている。
セキュリティ企業SecurityScorecardの研究チーム「STRIKE」が報じた最新の調査結果によると、数千台規模のASUS製ルーターが、中国政府の支援を受けていると疑われるハッカー集団によって侵害されていることが判明した。「Operation WrtHug(WrtHug作戦)」と名付けられたこのキャンペーンは、従来の破壊的な攻撃とは一線を画す、不気味なほどの「静けさ」を特徴としている。
本稿では、なぜ攻撃者はASUS製ルーターを狙ったのか、彼らは何を企んでいるのか、そしてユーザーはいかにしてこの見えない脅威を検知すべきかを紹介したい。
1. 巧妙な手口:「自己署名証明書」の盲点を突く
今回の攻撃において最も特筆すべき、そして恐ろしい点は、ユーザーの「慣れ」を悪用したソーシャルエンジニアリングの手法である。
信頼と油断の境界線
通常、ASUS製ルーターの管理画面や「AiCloud」機能にWebブラウザからアクセスする際、HTTPS接続を使用すると「保護されていない通信」といった警告が表示される。これは、ルーターが発行する「自己署名証明書(Self-signed Certificate)」をブラウザが公的な認証局のものとして認識できないために発生する仕様だ。ASUSの公式サポートページでも、この警告を無視して「安全ではありませんが(サイト名)に進む」を選択するよう案内されている。
攻撃者はこの「警告を無視して承認する」というユーザーの習慣を逆手に取った。
「WrtHug」の侵入メカニズム
SecurityScorecardのレポートによれば、ハッカーは侵害したルーターに対し、彼らが作成した特定の自己署名証明書をインストールさせる。ユーザーが管理画面やAiCloudにアクセスしようとすると、いつものようにダイアログが表示される。ユーザーは「いつものことだ」と無意識に承認ボタンを押してしまうが、その瞬間、ユーザーはハッカーが管理する暗号化通信の土俵に乗せられていることになる。
この手口の巧妙さは、システム的な脆弱性だけでなく、人間の心理的な隙(セキュリティ警告への麻痺)を巧みに利用している点にある。
2. ターゲットの特定:見捨てられたデバイスたち
今回の攻撃対象となったのは、無差別に選ばれたルーターではない。明確なパターンが存在する。
狙われた「End-of-Life」モデル
攻撃の影響を受けているのは、主に以下のASUS製ルーターである。これらはすでにメーカーのサポートが終了した「End-of-Life(EoL)」製品、あるいはファームウェアの更新が長期間行われていないデバイスが大半を占める。
- GT-AC5300 (ハイエンドゲーミングルーター)
- GT-AX11000 (ハイエンドゲーミングルーター)
- RT-AC1200HP
- RT-AC1300GPLUS
- RT-AC1300UHP
- 4G-AC55U
- 4G-AC860U
- DSL-AC68U
技術的背景:Nth Day脆弱性の悪用
攻撃者は未知の脆弱性(ゼロデイ)ではなく、すでにパッチが公開されているにもかかわらず、ユーザーが適用していない、あるいはメーカーサポート終了により適用できない「既知の脆弱性」を突いている。
具体的には、AiCloudサービスに関連する脆弱性や、OSコマンドインジェクション(CVE-2023-41345, CVE-2023-41346, CVE-2023-41347, CVE-2023-41348)などが悪用されている。特筆すべきは、これらの脆弱性が別の中国系ハッキングキャンペーン「AyySSHush」で悪用された脆弱性(CVE-2023-39780)と密接に関連している点だ。これは、複数の攻撃グループが同一のツールセットや脆弱性情報を共有、あるいは調整している可能性を示唆している。
3. 「ORB」ネットワーク:沈黙するボットネットの正体
なぜ中国のハッカーは、古いルーターを支配下に置くのか? その目的はDDoS攻撃のような「騒がしい」破壊活動ではない。筆者はこれを、「ORB(Operational Relay Box)」ネットワークの構築であると分析する。
スパイのための「迷彩服」
ORBネットワークとは、諜報活動を行う際の「中継地点」として機能するデバイス群のことだ。ハッカーが政府機関や重要インフラへサイバー攻撃を仕掛ける際、中国本土から直接アクセスすれば即座に遮断され、身元も特定される。
しかし、一般家庭のルーターを経由(リレー)させることで、攻撃通信は「台湾の一般市民」や「アメリカの小規模オフィス」からの正規のトラフィックのように偽装される。セキュリティ防御システムにとって、信頼性の高いIPアドレスからの通信を遮断することは極めて難しい。
台湾への集中と地政学的意図
侵害されたデバイスの分布図(ヒートマップ)を見ると、その30〜50%が台湾に集中していることは決して偶然ではないだろう。次いで米国、ロシア、香港、日本などが続く。台湾海峡の緊張が高まる中、有事の際や平時の諜報活動において、台湾内部のネットワークに足場を築いておくことは、中国にとって極めて高い戦略的価値を持つ。
現状、侵害されたルーターからは目立った悪性ペイロード(マルウェア本体)の投下や、積極的な攻撃活動は観測されていない。彼らはただ「そこにいる」のだ。これは、将来的な大規模作戦のためにインフラを温存している(Laying low)状態であると推測される。
4. あなたのルーターは大丈夫か? 検知と対策
もしあなたが上記のリストにあるルーターを使用している場合、直ちに確認作業を行う必要がある。最も確実な判別方法は、インストールされている「証明書」の中身を確認することだ。
決定的な証拠:「2122年」の証明書
ハッカーが設置した不正な自己署名証明書には、通常のASUS製証明書にはあり得ない特徴がある。
- 有効期限の異常: 証明書の有効期限が2122年(発行から100年間)に設定されている。正規のASUS証明書であれば通常は10年程度である。
- 発行者情報の欠落: 発行者(Issuer)やサブジェクト(Subject)の欄が、
CN=a, OU=a, O=a, L=a, ST=a, C=aaという意味のない文字列で埋められている。
具体的な確認手順
ブラウザのアドレスバーにある「鍵マーク」や「保護されていない通信」の警告をクリックし、証明書の詳細情報を表示させることで確認が可能だ。もし有効期限が「2122年」となっていれば、そのデバイスは侵害されている可能性が極めて高い。
推奨される対策:ハードウェアの刷新
残念ながら、工場出荷時リセットで一時的に駆除できたとしても、脆弱性がパッチされていないEoL製品を使用し続ける限り、再感染のリスクは消えない。SecurityScorecardの研究者が指摘するように、攻撃者はメモリ上に常駐し、再起動で消える揮発性のバイナリを使用している可能性もあるが、設定変更は永続化されている。
アドバイスとしてはシンプルだ。「サポート切れのルーターは即座に廃棄し、セキュリティ更新が提供されている現行製品に買い換えること」。これはもはや個人の財布の問題ではなく、インターネット全体の衛生状態を守るための責務と言える。また、AiCloud、SSH、Telnet、ポートフォワーディングといった不要な外部アクセス機能は、使用していない限りすべて無効化(Disable)することが、現代のサイバー防衛の鉄則である。
5. IoTセキュリティのパラダイムシフト
「WrtHug」作戦が浮き彫りにしたのは、インターネットに接続された「忘れ去られたデバイス」が、国家レベルのサイバー戦争における強力な武器になり得るという現実だ。
Google等の巨大プラットフォーマーがAI需要に応えるためにインフラを倍増させている一方で、足元のIoTデバイスは更新されぬまま放置されている。このギャップこそが、攻撃者にとっての最大の好機となっている。もはや「動いているから使う」という考えは、セキュリティにおいて致命的な脆弱性となる時代が到来しているのだ。
Sources
