数千台のASUSルーターがステルス性の高い永続的なバックドア攻撃を受けている

ASUS製の家庭用および小規模オフィス用ルーター数千台が、国家または十分な資金力を持った脅威アクターにより、再起動やファームウェア更新を回避できるステルス性の高いバックドアを作られる攻撃を受けていることが明らかになりました。

GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers
https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers

Thousands of Asus routers are being hit with stealthy, persistent backdoors - Ars Technica
https://arstechnica.com/security/2025/05/thousands-of-asus-routers-are-being-hit-with-stealthy-persistent-backdoors/

記事作成時点ではASUSルーターにバックドアを仕込んでいる脅威アクターの正体は明らかになっていません。この正体不明の攻撃者は、パッチ適用済みの脆弱性を悪用してルーターにアクセスします。パッチ適用済みの脆弱性の中には、国際的に認められた共通脆弱性識別子(CVE)では追跡されていないものもあるため、脅威アクターはこれを悪用してルーターへの侵入を試みている模様。

脅威アクターが悪用した脆弱性のひとつが「CVE-2023-39780」で、これはシステムコマンドの実行を可能にするコマンドインジェクションに関する脆弱性です。ASUSはファームウェアアップデートでこの脆弱性を修正していますが、理由は不明なものの、この脆弱性はCVEトラッキング指定を受けていませんでした。

脆弱性を利用してデバイスの管理権限を不正に取得した後、脅威アクターはSSH経由でルーターにアクセスするための公開暗号鍵をインストールします。これにより、秘密鍵を持つユーザーは誰でも管理者権限でルーターに自動的にログインできるようになってしまうわけです。

このバックドアの存在を発見・報告したのは、セキュリティ企業GreyNoiseの研究チームです。同研究チームは、「攻撃者によるアクセスは再起動やファームウェアのアップデート後も維持されるため、影響を受けたルーターを永続的に制御することが可能です」「攻撃者は認証バイパスの連鎖、既知の脆弱性の悪用、正当な設定機能の悪用によって、マルウェアを仕掛けたり、明らかな痕跡を残さずに長期的にルーターへの不正アクセスを維持したりしています」と報告しました。

GreyNoiseはこのバックドアが仕込まれたルーターが全世界で約9000台存在しており、状況を追跡していると述べています。なお、この数は時間の経過と共に増え続けているそうです。ただし、GreyNoiseの研究チームによると「感染したルーターが何らかの活動に利用された兆候は見つかっていない」とのことです。むしろ、今回見つかった大量の侵害ルーターは、脅威アクターが将来行うハッキング攻撃のために準備していたものなのではないかとも指摘されています。

GreyNoiseの研究チームによると、ASUSの侵害されたルーターはセキュリティ企業のSekoiaが2025年5月の第4週に報告した大規模な攻撃キャンペーンの一部である可能性を指摘しています。Sekoiaの研究チームは、ネットワーク情報会社のCensysによるインターネットスキャンで、最大9500台のASUS製ルーターがViciousTrap(未知の脅威アクターを追跡するために使われる名称)に侵入された可能性があると報告していました。

自身のASUSルーターが問題ないかどうかは、設定パネルのSSH設定から確認可能です。バックドアが作られているルーターの場合、短縮キーのデジタル証明書を使用してポート53282経由でSSHログインできると表示されるそうです。もしくは、システムログにIPアドレス「101.99.91.151」「101.99.94.173」「79.141.163.179」「111.90.146.237」でアクセスされたことが形跡がある場合も、感染している可能性があります。

バックドアを削除するには、当該キーとポート設定を削除する必要があるとのことです。