Last Updated on 2025-05-30 09:30 by admin
2025年3月、セキュリティ企業GreyNoiseはASUS製ルーター(RT-AC3100、RT-AC3200、RT-AX55など)約8,000台が新たなボットネット「AyySSHush」に感染していることを確認した。
この攻撃は、ブルートフォースや認証バイパス、CVE-2023-39780などの脆弱性を利用し、SSHの公開鍵をNVRAMに書き込むことでファームウェア更新や再起動後もバックドアが残る仕組みとなっている。
感染機器ではトレンドマイクロのAiProtectionやログ機能が無効化され、攻撃の痕跡が残りにくい。
GreyNoiseやSekoiaなど複数の調査機関は国家支援型グループの関与を示唆しているが、攻撃者の特定には至っていない。ASUSは2025年5月に脆弱性を修正したファームウェアを公開したが、既に感染している場合は工場出荷時リセットが必要である。
From: 
8,000+ Asus routers popped in ‘advanced’ mystery botnet plot
【編集部解説】
今回の事案で注目すべきは、マルウェアを用いず公式機能を悪用して永続的なバックドアを設置するという手法です。NVRAM(不揮発性メモリ)にSSH鍵を追加することで、ファームウェア更新や再起動では消去できない「見えない侵害」を実現しています。これは従来の「パッチ適用=安全」という常識を覆すものであり、IoT機器のセキュリティ設計思想そのものに警鐘を鳴らす出来事です。
また、感染したルーターはAiProtectionなどのセキュリティ機能を無効化され、外部からの検知が極めて困難となります。今後、SOHOルーターなど家庭用機器を標的とした「インフラ事前構築型」攻撃が増加する可能性が高く、ユーザー自身が機器の状態を定期的に確認する習慣が求められます。
欧州ではIoT機器のリセット機能義務化など規制強化の動きも見られ、今後はハードウェアレベルでのセキュリティ設計やライフサイクル管理が不可欠となるでしょう。テクノロジーの進化が利便性だけでなく、リスクへの対応力も同時に求められる時代が到来しています。
【用語解説】
NVRAM:
ルーターの設定情報を電源オフ後も保持する不揮発性メモリ領域。
CVE-2023-39780:
ASUSルーターに存在したコマンドインジェクションの脆弱性。
AiProtection:
トレンドマイクロが提供するASUSルーター向けセキュリティ機能。悪質サイトやマルウェア通信のブロックなどを行う。
SSHバックドア:攻撃者が不正アクセスを維持するために設置する隠し通信経路。
【参考リンク】
GreyNoise公式サイト(外部)
インターネット上の脅威活動を可視化・分析するセキュリティ企業。ボットネットや攻撃トラフィックの監視を行う。
ASUSルーターサポート(外部)
ASUS製ルーターの製品情報、ファームウェアダウンロード、サポート情報を提供。
Sekoia.io公式サイト(外部)
サイバー脅威インテリジェンスとXDRプラットフォームを提供するフランス企業。
【編集部後記】
ご自宅や職場のルーター、普段どのくらい気にかけていますか?今回のニュースは、私たちが日常的に使うネットワーク機器にも予想外のリスクが潜んでいることを示しています。自分の使っている機器の設定やセキュリティ状態を一度見直してみることで、思わぬ発見があるかもしれません。未来のテクノロジーとより良い関係を築くためのきっかけになれば幸いです。
【参考記事】
BleepingComputer「Botnet hacks 9,000+ ASUS routers」
SecurityAffairs「New AyySSHush botnet」
CybersecurityDive「Thousands of ASUS routers compromised」
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
