数千台規模のASUS製ルーターが、ファームウェアアップデートや再起動を行っても除去できない極めて悪質なバックドアに感染し、ボットネットの一部と化している可能性が、セキュリティ企業GreyNoiseによって報告された。このステルス性の高い攻撃「AyySSHush」は、ユーザーが気づかないうちに進行し、既に世界中で9,000台以上のデバイスが影響を受けていると見られている。本記事では、この深刻なサイバー攻撃の詳細な手口、発見の経緯、そしてユーザーが取るべき具体的な対策について、掘り下げていく。
事件の概要:沈黙の侵略者「AyySSHush」とその深刻な影響
2025年3月中旬、セキュリティ企業GreyNoiseは、同社のAI搭載ネットワーク分析ツール「Sift」が検知した不審なトラフィックから、ASUS製ルーターを標的とした大規模なサイバー攻撃キャンペーンを発見した。この攻撃は「AyySSHush」と名付けられ、その手口の巧妙さと影響の深刻さから、背後には高度な技術力を持つ攻撃者集団、いわゆるAPT(Advanced Persistent Threat)や国家レベルの関与も疑われている。
GreyNoiseやインターネット資産監視プラットフォームCensysの調査によると、本稿執筆時点で少なくとも9,000台以上のASUS製ルーターがこの攻撃によって侵害されていることが確認されており、その数は依然として増加傾向にあるという。影響が確認されている主なモデルには、比較的新しいWi-Fi 6対応の「RT-AX55」や、過去に人気を博した「RT-AC3100」「RT-AC3200」などが含まれるという。
この攻撃の最も憂慮すべき点は、一度感染すると、通常のファームウェアアップデートやデバイスの再起動ではバックドアを除去できないという永続性にある。攻撃者はルーターの正規の機能を悪用し、設定情報を保存する不揮発性メモリ(NVRAM)に不正な設定を書き込むため、従来の対策では不十分なのだ。これは、多くのユーザーが「ファームウェアを最新に保てば安全」という常識を覆すものであり、改めて注意を呼びかける必要がある。
巧妙な攻撃手口:ステルス性と永続性を実現するメカニズム
攻撃者は、どのようにしてこれほど多くのルーターを密かに、そして永続的に乗っ取ることができたのだろうか。その手口は多段階に及び、極めて計算されたものだ。
- 初期侵入:脆弱性と力技の組み合わせ
攻撃者はまず、インターネットに露出しているASUS製ルーターに対し、既知の脆弱性(例えば、コマンドインジェクションを許すCVE-2023-39780)や、まだCVE番号が割り当てられていない未公開の認証バイパスの脆弱性を悪用する。さらに、一部では古典的な総当たり攻撃(ブルートフォースアタック)によるログイン試行も確認されている。 - バックドアの設置:正規機能を悪用した永続化
侵入に成功すると、攻撃者はルーターの正規の設定機能を利用して、SSH(Secure Shell)アクセスを有効化する。この際、標準的ではないカスタムポート(TCP 53282)を使用し、さらに攻撃者自身がコントロールする公開SSH鍵をauthorized_keysファイルに登録する。これにより、攻撃者はパスワードなしでルーターへの管理者権限でのリモートアクセスを恒久的に確保する。 - NVRAMへの書き込み:消えないバックドアの秘密
重要なのは、これらの不正なSSH設定がルーターのNVRAMに書き込まれる点だ。NVRAMは電源を切っても内容が消えないメモリ領域であり、ファームウェアのアップデートプロセスでも通常は上書きされない。これが、再起動やファームウェア更新でもバックドアが生き残る理由である。 - 隠蔽工作:痕跡を消し去る
攻撃者はさらに、自身の活動の痕跡を消すために、ルーターのシステムログ機能を無効化し、トレンドマイクロ社提供のセキュリティ機能「AiProtection」も停止させる。これにより、ユーザーや管理者が異常に気づくことを極めて困難にしている。実際、GreyNoiseは3ヶ月間でわずか30件程度の悪意のあるリクエストしか観測していないにもかかわらず、数千台のデバイスが侵害されていることから、そのステルス性の高さがうかがえる。
発見の経緯と専門家の分析:AIが捉えたAPTの影
この巧妙な攻撃は、GreyNoiseのAI駆動型分析ツール「Sift」が、同社のグローバル観測グリッドで稼働するエミュレートされたASUSルータープロファイル上で、異常なHTTP POSTリクエストを検知したことから発覚した。ごくわずかな通信の異常から、大規模なキャンペーンの端緒を掴んだのだ。
GreyNoiseは、この攻撃手口が高度な計画性とシステムアーキテクチャへの深い理解を示しているとし、国家が支援するAPTアクターや、通信を中継するための秘密のインフラ(ORB: Operational Relay Box)ネットワーク構築に関連する活動と類似点があると指摘している。
また、フランスのセキュリティ企業Sekoiaも、類似の攻撃キャンペーン「ViciousTrap」について報告しており、両者には関連性がある可能性が示唆されている。Sekoiaの報告では、攻撃者は中国語話者である可能性や、GobRATといったマルウェアのインフラとの一部重複にも言及されており、攻撃者の素性に関する憶測を呼んでいる。
現時点では、このボットネットが具体的にどのような目的で構築されているかは明確ではない。DDoS攻撃の踏み台、マルウェア感染の中継地点、あるいはさらなるサイバー攻撃のための潜入拠点として利用される可能性などが考えられるが、今のところ目立った活動は確認されていない。しかし、これだけの規模のバックドアネットワークが「沈黙」していること自体が、不気味さを増幅させていると言えるだろう。
ユーザーが取るべき対策:あなたのルーターは大丈夫か?
では、ASUS製ルーターのユーザーは、この脅威に対してどのように対処すればよいのだろうか。ASUSは既にCVE-2023-39780を含む関連脆弱性に対するファームウェアアップデートをリリースしているが、前述の通り、既に感染してしまったルーターからバックドアを完全に除去するには、ファームウェアアップデートだけでは不十分である。
GreyNoiseや他のセキュリティ専門家は、以下のステップを推奨している。
- 感染の確認:
- ルーターの設定画面を確認し、SSHアクセスが有効になっていないか、特にTCPポート「53282」で待ち受けていないかを確認する。
- ルーターのauthorized_keysファイル(SSHの公開鍵が保存されているファイル)に、見慣れない公開鍵(特にssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ…で始まるもの)が登録されていないか確認する。
- 以下のIPアドレスからの不審なアクセスログがないか確認する(ただし、攻撃者はIPアドレスを変更する可能性があるため、これだけで判断するのは危険)。
- 101.99.91.151
- 101.99.94.173
- 79.141.163.179
- 111.90.146.237
- 対処法(感染が疑われる場合、または確実を期したい場合):
- 最も確実な方法は、ルーターを工場出荷時の状態に完全にリセットすること。 これにより、NVRAMに書き込まれた不正な設定もクリアされる可能性が高い。
- 工場出荷時リセット後、ルーターを手動で再設定する。この際、必ず最新のファームウェアを適用し、管理者パスワードを強力なものに変更する。安易なパスワードの使い回しは避けるべきだ。
- 不要であれば、ルーターのリモート管理機能(WAN側からのアクセス)は無効にする。
- 予防策と一般的なセキュリティ対策:
- ルーターのファームウェアは常に最新の状態に保つ(ただし、今回の件ではそれだけでは不十分だったことを念頭に置く)。
- 管理者アカウントのデフォルトパスワードを変更し、推測されにくい複雑なパスワードを設定する。Wi-Fiのパスワードも同様に強力なものにする。
- ルーターのログを定期的に確認し、不審なアクティビティがないか監視する。
- ネットワークファイアウォールを活用し、不審なインバウンド・アウトバウンド通信をブロックする。
- メーカー(ASUS)からのセキュリティアドバイザリを定期的にチェックする。
IoTセキュリティへの警鐘
今回のASUSルーターへの大規模攻撃は、家庭や小規模オフィスで広く利用されているネットワーク機器が、いかにサイバー攻撃の格好の標的となりうるかを改めて浮き彫りにした。特に、一度侵入されると除去が困難な永続的バックドアの手口は、IoT(モノのインターネット)デバイス全般に共通するセキュリティ課題を示唆している。
ユーザーとしては、ルーターのようなネットワーク機器もコンピュータの一種であり、適切なセキュリティ対策が不可欠であるという認識を強く持つ必要がある。メーカー側にも、より堅牢なセキュリティ設計と、万が一侵害された場合のリカバリー手段の明確化が求められるだろう。
この「AyySSHush」ボットネットが今後どのような活動を見せるのか、予断を許さない状況が続く。まずはご自身のルーターの状況を確認し、必要な対策を講じることを強く推奨する。
Sources
