以前から、ブラジルを中心とした南米でCoinhiveスクリプトを埋め込まれるcryptojackが大流行しています。これは全然落ち着く気配がなく、日に日に感染台数が増加しているようです。Twitterなどでは海外を中心に情報がかなり流れているのですが、国内での感染も増えてきているようです。
このcryptojackが感染している背景には、以前にあったVault7で報告された脆弱性をついた形で観戦しており、これについてはMikrotikは脆弱性対応したRouterOSが公開されています。
このblogの Teru (id:cha-shu00) さんが詳細な記事を書いてくださっています。国内の集合住宅にもMikrotikのルーターが導入されているようで、そのルーターがcryptojackに感染していた、ということのようです。
301 Moved Permanently
ShodanやCensysなどを閲覧すると、日本国内での感染したRouterboardが報告されている実態が把握できます。
Attention Required! | Cloudflare
まず急いで対応するために、Mikrotikで公開されている最新のRouterOSを適用するようにしてください。この記事を書いている時点での最新のバージョンは以下になります。
- 6.40.9 (Bugfix only)
- 6.42.7 (Current)
- TELNET
- SSH
- FTP
- WINBOX
[admin@MikroTik] > /ip service disable ssh,winbox,ftp,telnet
TrustwaveのWebサイトには感染した場合の動作についての図示した解説記事がありますので、感染している疑いがある、またはどのような場合は感染している、と判断できるのか、を確認したい場合には是非とも閲覧することをおススメします。