1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 9,000台超のASUSルーターが不正アクセスによる侵害、永続的バックドアでボットネット化しサイバー攻撃に悪用

9,000台超のASUSルーターが不正アクセスによる侵害、永続的バックドアでボットネット化しサイバー攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

9,000台超のASUSルーターが不正アクセスによる侵害、永続的バックドアでボットネット化しサイバー攻撃に悪用

2025年5月、セキュリティ企業GreyNoiseは、世界中で9,000台以上のASUS製ルーターがステルス攻撃により不正アクセスを受け、永続的なSSHバックドアが仕込まれていたことを明らかにしました。この攻撃は、国家支援が疑われる高い技術力と長期的視点を持つサイバー犯罪グループによるものである可能性があり、現在も進行中とみられます。

見えない攻撃:「AyySSHush」キャンペーン

このキャンペーンは「AyySSHush」と仮称され、SOHO(小規模オフィス・家庭)向けのASUSルーターを標的にしています。GreyNoiseは、2025年3月に独自のAI解析エンジン「Sift」によってこの攻撃を初めて検出。その後、慎重な調査と関係機関との情報共有を経て、5月28日に調査結果を公表しました。

主な侵害内容

今回の攻撃では、主にASUS製のSOHOルーターが標的となり、攻撃者は複数の手法を組み合わせてルーターへの不正アクセスを実現しています。侵害の初期段階では、ブルートフォースによるログイン試行や、脆弱性を突いた認証バイパスが用いられました。特に、CVE-2023-39780として知られるコマンドインジェクションの脆弱性が悪用されており、これにより攻撃者はシステム上で任意のコマンドを実行できるようになります。

さらに、攻撃者はルーターの管理機能を悪用し、SSHアクセスを非標準ポート(TCP/53282)で有効化するとともに、自らが用意した公開鍵を設定に追加しました。これにより、ルーターが再起動されたり、ファームウェアが更新された場合でも、設定が保持されるNVRAM(不揮発性メモリ)に記録されているため、バックドアが恒久的に残るという特性があります。

この攻撃の大きな特徴は、マルウェアがインストールされない点です。さらに、ルーターのログ機能を無効化することで、痕跡を極限まで減らし、発見を困難にしています。これらの手口は、極めて高度な技術と長期的な作戦計画に基づいたものであり、APT(高度持続的脅威)攻撃の典型的な特徴と一致しています。

攻撃の流れ(エクスプロイトチェーン)

  1. 初期侵入:ブルートフォースや認証バイパスでログインに成功

  2. コマンド実行:CVE-2023-39780の悪用

  3. 永続化:SSHポート開放と公開鍵登録

  4. ステルス化:ログ無効化、AiProtectionの無効化

GreyNoiseによると、3カ月間で観測された関連リクエストはわずか30件に過ぎませんが、それにもかかわらず9,000台以上が感染しており、攻撃者の巧妙さと静的な活動が際立っています。

攻撃の目的とAPTとの類似性

GreyNoiseは明確なグループの特定は避けているものの、「APT(高度持続的脅威)」に典型的な行動様式と一致すると指摘しています。また、フランスのセキュリティ企業Sekoiaも同時期に「Vicious Trap」と呼ばれるキャンペーンの存在を報告しており、同様の攻撃がD-LinkやLinksysなどの他社製ルーターにも及んでいるとしています。

現時点ではDDoSや中継ネットワークとしての活用など、目立った悪用の兆候は見られていませんが、これは将来の大規模ボットネット構築に向けた「準備段階」である可能性があります。

ユーザーへの影響と対策

影響のあるASUS製品

  • ASUS RT-AC3100

  • ASUS RT-AC3200

  • ASUS RT-AX55

  • その他SOHO向けルーター

侵害の確認方法:

  • TCP/53282番ポートでSSHが開放されていないか確認

  • /home/root/.ssh/authorized_keys に不審な公開鍵が追加されていないか確認

  • 以下のIPアドレスからの通信があればブロック推奨

101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237

対応方法:

  • ASUSが提供する最新ファームウェアへのアップデート(※ただし、侵害後にアップデートしてもバックドアは消えません

  • 初期化(ファクトリーリセット)を行い、再設定時に強力なパスワードを使用

  • ログ監視機能やIDSの導入による不審アクセスの検知

  • 定期的な設定ファイルの確認とバックアップ

今後の警戒ポイント

この種の攻撃は、国家支援のスパイ活動や地政学的リスクと結びつく可能性があります。特に、チェコ外務省に対するAPT31の攻撃が欧州各国から強く非難されている現状と重なる点も見逃せません。

「目立たずに潜伏し、必要なときに一斉に発火する」――これは典型的な高度なボットネット構築の兆候です。今後、こうしたステルス性の高いIoT・ルーターへの侵害が増加することが予想され、企業・家庭を問わず防御の徹底が求められます。

関連記事

TP-LINK製のルーターからtelnetを探索する動きTP-LINK ルーターのtelnetを探索する動きを観測 バックドアとは?事例や概要を解説バックドアとは?事例や概要を解説 ASUS DriverHubに深刻な脆弱性、ウェブサイト経由で管理者権限のコマンド実行が可能(CVE-2025-3462、CVE-2025-3463)ASUS DriverHubに深刻な脆弱性、ウェブサイト経由で管理者権限のコマンド実行が可能(CVE-2025-3462、CVE-2025-3463) Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 サプライチェーン攻撃とは 概要や攻撃手法と被害 事例を解説サプライチェーン攻撃とは 概要や攻撃手法と被害 事例を解説 米国、北朝鮮のハッカーの情報提供に1000万ドルの報奨金を提示米国、北朝鮮のハッカーの情報提供に1000万ドルの報奨金を提示 Ciscoの7年前の脆弱性 CVE-2018-0171 を悪用したサイバー攻撃が再燃 今なお多数の機器が影響下にCiscoの7年前の脆弱性 CVE-2018-0171 を悪用したサイバー攻撃が再燃 今なお多数の機器が影響下に 中国系ハッカーグループが4年間もの間、通信ネットワークをスパイ中国系ハッカーグループが4年間もの間、通信ネットワークをスパイ 北朝鮮がサイバー攻撃や仮想通貨、偽装IT労働者活動支援の為にAIを悪用北朝鮮がサイバー攻撃や仮想通貨、偽装IT労働者活動支援の為にAIを悪用