米国 FBI サポートが終了したルータを悪用したサイバー犯罪について警告

こんにちは、丸山満彦です。

サポートが終了したルータを悪用したサイバー犯罪についてFBIが警告をだしていますね...

サポートが終了したルータは脆弱性があっても通常は対応されないないので、それを狙った侵入し、サイバー犯罪等に利用することができるわけですが、侵入し成功したルーターを他の人に利用してもらうということも可能となりますよね...

ボットネットの一部になってしまうと...

そういえば、家庭用ルーター等のCyber Trust Markの運用がFCC（連邦取引委員会）で始まっているように思うのですが、それはどうなっているのでしょうかね...2025年の後半、クリスマスプレゼントの購入の前（11月かあ12月前半？）に開始される可能性が高いようなかんじですかね...

 

● FBI

・2025.05.07 Cyber Criminal Proxy Services Exploiting End of Life Routers

Alert Number: I-050725-PSA

Cyber Criminal Proxy Services Exploiting End of Life Routers	サポートが終了したルータを悪用したサイバー犯罪プロキシサービス
The Federal Bureau of Investigation (FBI) is issuing this announcement to inform individuals and businesses about proxy services taking advantage of end of life routers that are susceptible to vulnerabilities. When a hardware device is end of life, the manufacturer no longer sells the product and is not actively supporting the hardware, which also means they are no longer releasing software updates or security patches for the device. Routers dated 2010 or earlier likely no longer receive software updates issued by the manufacturer and could be compromised by cyber actors exploiting known vulnerabilities.	連邦捜査局（FBI）は、脆弱性の影響を受けやすいサポートが終了したルータを悪用したプロキシサービスについて、個人および企業に周知するため、本アナウンスを発表する。ハードウェア・デバイスの製造が終了した場合、製造事業者はその製品の販売を終了し、ハードウェアのサポートも終了する。2010年以前のルーターは、製造事業者が発行するソフトウェア・アップデートを受け取らない可能性が高く、既知の脆弱性を悪用したサイバー行為によって侵害される可能性がある。
End of life routers were breached by cyber actors using variants of TheMoon malware botnet. Recently, some routers at end of life, with remote administration turned on, were identified as compromised by a new variant of TheMoon malware. This malware allows cyber actors to install proxies on unsuspecting victim routers and conduct cyber crimes anonymously.	サポートが終了したルーターは、TheMoonマルウェア・ボットネットの亜種を使用したサイバー行為者によって侵入された。最近、リモート管理がオンになっているサポートが終了したルーターの一部が、TheMoonマルウェアの新しい亜種によって侵害されていることが確認された。このマルウェアにより、サイバー・アクターは疑うことを知らない被害者のルーターにプロキシをインストールし、匿名でサイバー犯罪を行うことができる。
Proxies and Router Vulnerabilities	プロキシとルーターの脆弱性
A proxy server is a system or router that provides a gateway between users and the Internet. It is an intermediary between end-users and the web pages they visit online. A proxy is a service that relays users' Internet traffic while hiding the link between users and their activity.	プロキシサーバーは、ユーザーとインターネットの間にゲートウェイを提供するシステムまたはルーターである。エンドユーザーと彼らがオンラインで閲覧するウェブページとの仲介役である。プロキシは、ユーザーのインターネット・トラフィックを中継し、ユーザーとその活動の間のリンクを隠すサービスである。
Cyber actors use proxy services to hide their identities and location. When actors use a proxy service to visit a website to conduct criminal activity, like stealing cryptocurrency or contracting illegal services, the website does not register their real IP address and instead registers the proxy IP.	サイバー・アクターは、プロキシ・サービスを利用して、自分の身元や居場所を隠す。行為者がプロキシ・サービスを利用してウェブサイトを訪問し、暗号通貨の窃盗や違法サービスの契約などの犯罪行為を行う場合、ウェブサイトは実際のIPアドレスを登録せず、代わりにプロキシIPを登録する。
TheMoon Malware	TheMoon マルウェア
TheMoon malware was first discovered on compromised routers in 2014 and has since gone through several campaigns. TheMoon does not require a password to infect routers; it scans for open ports and sends a command to a vulnerable script. The malware contacts the command and control (C2) server and the C2 server responds with instructions, which may include instructing the infected machine to scan for other vulnerable routers to spread the infection and expand the network.	TheMoon マルウェアは2014年に侵害されたルーターで初めて発見され、その後いくつかのキャンペーンを経ている。TheMoonはルーターを感染させるのにパスワードを必要とせず、開いているポートをスキャンし、脆弱性のあるスクリプトにコマンドを送信する。マルウェアはコマンド・アンド・コントロール（C2）サーバーに連絡し、C2サーバーは感染したマシンに他の脆弱性ルーターをスキャンして感染を広げ、ネットワークを拡大するよう指示するなどの対応をとる。
Tips to Protect Yourself	防御のための識別
Commonly identified signs of malware infections on routers include overheating devices, problems with connectivity, and changes to settings the administrator does not recognize.	ルーターにおけるマルウェア感染の兆候としてよく確認されるのは、デバイスの過熱、接続性の問題、管理者が認識していない設定の変更などである。
The FBI recommends individuals and companies take the following precautions:	FBIは、個人および企業に対し、以下の予防策を講じることを推奨している：
・If the router is at end of life, replace the device with an updated model if possible.	・ルーターの寿命が来ている場合は、可能であれば最新のモデルに交換する。
・Immediately apply any available security patches and/or firmware updates for your devices.	・利用可能なセキュリティ・パッチやファームウェア・アップデートを直ちに適用する。
・Login online to the router settings and disable remote management/remote administration, save the change, and reboot the router.	・ルータの設定にオンラインでログインし、リモート管理/遠隔管理を無効にし、変更を保存して、ルータを再起動する。
・Use strong passwords that are unique and random and contain at least 16 but no more than 64 characters. Avoid reusing passwords and disable password hints.	・ユニークでランダムな、16 文字以上 64 文字以下の強力なパスワードを使用する。パスワードの再利用を避け、パスワードヒントを無効にする。
・If you believe there is suspicious activity on any device, apply any necessary security and firmware updates, change your password, and reboot the router.	・デバイスに不審な動きがあると思われる場合、必要なセキュリティとファームウェアのアップデートを適用し、パスワードを変更し、ルーターを再起動する。
Victim Reporting and Additional Information	被害者の報告および追加情報
If you suspect you are a victim of a proxy service or your personal information has been compromised:	プロキシサービスの被害者であると思われる場合、または個人情報が漏洩していると思われる場合：
・File a complaint with the FBI Internet Crime Complaint Center (IC3), www.ic3.gov. When available, please include the following information regarding the incident: date, time, and location of the incident; type of activity; number of people affected; type of equipment used for the activity; the name of the submitting organization; designated point of contact.	・FBIインターネット犯罪苦情センター（IC3）www.ic3.gov。その際、インシデントに関する以下の情報を含めること：インシデントの発生日時、場所、アクティビティの種類、影響を受けた人数、アクティビティに使用された機器の種類、提出組織の名前、指定された連絡先。
・Contact your account provider immediately to regain control of your accounts, change passwords, and place alerts on your accounts for suspicious login attempts and/or transactions.	・アカウントの制御を回復し、パスワードを変更し、不審なログイン試行および/またはトランザクションのためのアラートをアカウントに配置するために、アカウントプロバイダに直ちに連絡する。

 

 

---

 

CyberTrust Markについてはこのブログをみれば、リンク先を含めてある程度の情報が入手できるように思います...

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.10 米国 ホワイトハウス サイバートラストマークを開始...