Windstreamのユーザーが使っているルーターが大量に壊れたって知ってますか?
えっ、そんなことがあったんですか?何が原因なんですか?
実は、2023年の10月25日からの数日間で、60万台ものルーターがマルウェア攻撃で破壊されたんですよ。この事件は『Pumpkin Eclipse』と呼ばれていて、Black Lotus Labsが報告しました。
そんな大規模な攻撃があったんですね!どうやってそんなに多くのルーターを一度に攻撃できたんですか?
攻撃者はChaluboという既存のマルウェアを使って、ルーターのファームウェアを永久に上書きするようにしたんです。これでルーターが完全に使えなくなったわけですね。
Windstreamはどう対応したんですか?
Windstreamは影響を受けたユーザーに新しいルーターを送って対応しました。ただ、攻撃の動機や具体的な手法はまだ解明されていません。
なるほど。最近は本当にサイバー攻撃が増えていますね。気をつけないと。
そうですね。今回のような事件を教訓にして、ルーターやその他のデバイスのセキュリティを強化することが大切です。
2023年10月25日から数日間、Windstream(https://en.wikipedia.org/wiki/Windstream_Holdings)というインターネットサービスプロバイダ(ISP)の利用者から、「ルーターが突然機能しなくなり、再起動やリセットができない」という報告が相次ぎました。Lumen(https://www.lumen.com/ja-jp/home.html)のサイバー脅威研究部門であるBlack Lotus Labsが2024年5月30日に発表したレポートによると、この攻撃は、ハロウィンの時期に発生したことから、「Pumpkin Eclipse」と名付けられました。
Windstreamとその対応
Windstreamは主にアメリカの農村部でインターネット通信を提供しており、2023年時点で約160万人の加入者がいます。10月25日、Windstreamユーザーから「ルーターが壊れてインターネットが使えなくなった」との報告がありました。あるユーザーはRedditに、「T3200モデムを使い始めてしばらくたちますが、今日はこれまで経験したことがない事態が起きました。インターネットのランプが赤く点灯しています。これは直るのでしょうか?」と書き込みました。同様の報告は数日間にわたり、ルーターがリセットボタンにも反応せず、インターネットが使えないために多くのユーザーが被害を受けました。
最終的に、Windstreamは被害を受けたルーターが使用できないと判断し、影響を受けたユーザーに新しいルーターを送ることで問題を解決しました。
Pumpkin Eclipse
2024年5月30日、Black Lotus Labsは「10月25日から27日の72時間に発生した、単一のISPに属する60万台以上のルーターが永久に動作不能になる破壊的なイベント」についてのレポートを発表しました。このレポートではISPの名前は明示されていませんが、問題の内容や規模からWindstreamと考えられます。Black Lotus Labsは、このイベントを「Pumpkin Eclipse」と名付けました。
攻撃手法と推測
Black Lotus Labsによれば、控えめに見積もっても60万台と推定されるルーターは、未知の動機を持つ正体不明の脅威アクターによって攻撃を受けました。攻撃者はカスタム開発したツールキットではなく、Chaluboと呼ばれるコモディティマルウェアを使用して攻撃を実行しました。Chaluboに組み込まれた機能により、攻撃者はルーター上でカスタムLuaスクリプトを実行し、ルーターのファームウェアを永久に上書きしたと考えられます。Black Lotus Labsはレポートで、「私たちは悪意のあるファームウェアアップデートが、ルーターの停止を引き起こすことを意図した故意の攻撃であったと強い確信を持っています」と述べています。
大規模な攻撃と被害
この攻撃の特徴として、60万台以上のルーターが一度に破壊されて交換が必要になった点があります。また、従来の攻撃は特定のルーターモデルや一般的な脆弱性を標的としていましたが、今回の攻撃は特定のISPに限定されていた点も特徴的です。
Black Lotus Labsは、テクノロジー系メディアのArs Technicaに対し、この攻撃の背後に国家的なサイバー犯罪グループがいるとは認識していないものの、その可能性は排除できないと述べました。また、ルーターにマルウェアが感染した経路や、ハッカーが悪用した可能性があるルーターの脆弱性については特定できていないとしています。
コメント