Last Updated on 2024-06-01 13:02 by 荒木 啓介
2023年10月25日から27日にかけて、アメリカ合衆国内の小規模オフィス/ホームオフィス(SOHO)ルーター60万台以上が、特定されていないサイバー攻撃者による破壊的なサイバー攻撃により、使用不能になり、インターネットへのアクセスが遮断された。この事件は、Lumen TechnologiesのBlack Lotus Labsチームによって「Pumpkin Eclipse」とコードネームされ、特定のインターネットサービスプロバイダー(ISP)に影響を与えた。影響を受けたルーターモデルはActionTec T3200、ActionTec T3260、およびSagemcomである。
この攻撃は、感染したデバイスを永久に操作不能にし、ハードウェアの交換が必要となった。このISPの自律システム番号(ASN)からは、期間中に全モデムの49%が突然削除された。ISPの名前は公表されていないが、同時期にアウトレージを経験したWindstreamが該当する可能性がある。
Lumenの分析によると、この攻撃の背後には、2018年10月にSophosによって初めて文書化されたコモディティリモートアクセストロイの木馬(RAT)であるChaluboが関与していることが明らかになった。ルーターへの最初のアクセス方法は現在も不明であるが、弱い認証情報の悪用や公開された管理インターフェースの利用が関与している可能性がある。
この攻撃は特定のASNを標的としており、特定のルーターモデルや共通の脆弱性を標的とする他の攻撃とは異なる。この攻撃により60万台以上のデバイスの交換が必要となったことは前例がなく、このタイプの攻撃は以前に一度だけ発生しており、それはアクティブな軍事侵攻の前触れとしてAcidRainが使用された事例である。
【ニュース解説】
2023年10月25日から27日にかけて、アメリカ合衆国で600,000台以上の小規模オフィス/ホームオフィス(SOHO)ルーターが、特定されていないサイバー攻撃者による破壊的な攻撃を受け、インターネットへのアクセスが遮断されました。この事件は「Pumpkin Eclipse」と名付けられ、特定のインターネットサービスプロバイダー(ISP)が影響を受けました。攻撃により、感染したデバイスは永久に使用不能となり、ハードウェアの交換が必要になりました。
この攻撃の背後には、Chaluboというリモートアクセストロイの木馬(RAT)が関与していることが分かりました。Chaluboは、DDoS攻撃の実行や任意のLuaスクリプトの実行が可能で、様々なSOHO/IoTデバイスのカーネルに対応したペイロードを持っています。攻撃者は、このマルウェアを使用して、追跡や特定を困難にすることを意図していた可能性があります。
この事件の特徴的な点は、特定のASNを標的にしたことであり、これは通常、特定のルーターモデルや脆弱性を狙う他の攻撃とは異なります。この攻撃により、60万台以上のデバイスの交換が必要となったことは、過去に例を見ない規模です。このタイプの攻撃が以前に発生したのは、アクティブな軍事侵攻の前触れとしてAcidRainが使用された一度きりであり、その前例の希少性がこの事件の重大性を際立たせています。
この攻撃の影響は、単にハードウェアの損失やインターネットアクセスの遮断に留まらず、サイバーセキュリティの脆弱性に対する認識の向上を促すものです。特に、SOHO環境におけるセキュリティ対策の重要性が強調されます。また、ISPやデバイス製造業者に対して、セキュリティアップデートの迅速な配布や、デバイスのセキュリティ機能の強化が求められるようになります。
さらに、この事件は、サイバー攻撃の手法が日々進化していることを示しており、サイバーセキュリティの専門家や研究者にとって、新たな攻撃手法の研究や、より効果的な防御策の開発に対する動機付けとなります。長期的には、このような攻撃に対する抑止策や対応策の開発が、より安全なインターネット環境の構築に寄与することが期待されます。
from Mysterious Cyber Attack Took Down 600,000+ Routers in the U.S..
