インターネットに接続されたデバイスが侵害されているかどうかを判断する一つの方法は、攻撃者がホストバナーメッセージを元の設定とは異なる内容に変更した「ハッキングバナー」が表示されているかどうかです。しかし、ハッキングバナーだけでは、これらのデバイスがどれくらいの期間侵害されているかは分かりません。
Censysの主任セキュリティリサーチャーであるエミリー・オースティン氏は、Censysプラットフォームで利用可能なインターネットスキャンデータを調査している際に、数百台のUbiquitiネットワークルーターにハッキングバナーがあることを特定しました。これらは新たに侵害されたルーターではなく、過去に侵害され、その状態のまま残っているルーターだとオースティン氏は述べています。上記のグラフが示すように、Ubiquitiホストの改ざん数はここ数年で減少傾向にあり、これらのルーターが新たな攻撃キャンペーンの一部であるとは考えにくい状況です。もしこれらのシステムが最近侵害されていた場合、Censysの他のデータでも検出されていたはずだとオースティン氏は指摘しています。
過去10年間で、Ubiquitiネットワークルーターを標的とした複数の攻撃キャンペーンが存在しました。2016年にMFワームに感染したルーターはHACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTEDというバナーを表示し、2017年にはHACKED-ROUTER-HELP-SOS-HAD-DUPE-PASSWORDというバナーを持つルーターが36,000台以上存在していました。
「これら全てのデバイスがほぼ10年間も侵害されていたと断言はできませんが、十分に長い期間侵害されていた可能性が高く、本来であれば管理者が気付くべきだったでしょう」とオースティン氏はブログ記事で述べています。
これらのルーターの大半は、弱い認証情報が原因で侵害されたようです。例えば、複数のデバイスで同じパスワードを使い回していたり、簡単に破られるパスワードを使用していたり、Ubiquitiのデフォルトパスワード(ubnt/ubnt)を使っていたケースです。
オースティン氏は、これらの古いデバイスがパスワードや認証情報管理のベストプラクティスを採用していなかったことは驚きではないと述べています。しかし、デバイスの所有者がこれほど長期間侵害されていたことに気付いていなかったのは驚きだとし、これは多くの資産所有者が直面している可視性のギャップを明確に示していると指摘しています。
「当社のデータによると、2022年以降、これらのバナーを表示するデバイスの数は大幅に減少していますが、数百台が依然として残っている事実は、デバイスの保守と保護の継続的な課題を示唆しています」とオースティン氏は述べています。
今回の場合、Ubiquitiルーターは主に一般消費者や家庭向けISPネットワークで見つかっています。
これらの攻撃キャンペーンの最終的な目的が何であったのかは依然として不明だとオースティン氏は述べ、これらのルーターに関連した明確な後続活動も見られないと指摘しています。単に「ちょっとしたいたずら」で、どこまでできるか試してみた人たちによって侵害された可能性もあると彼女は述べています。