セキュリティ専門メディアBleeping Computerは、D-Link製ルータを標的とするボットネット型マルウェア「AryStinger」が特定されたと報じた。中国のセキュリティ企業奇安信(Qianxin)のXLabチームが公開したブログによると、攻撃者は古いルータの脆弱性を悪用し、世界中で稼働する4300台以上のルータにマルウェアを展開した。
AryStingerの感染手口
悪用された脆弱性はCVE-2013-3307、CVE-2016-5681、CVE-2025-11837の3つ。攻撃対象はD-LinkやLinksysの古いルータに加え、QNAP NASも含まれる。AryStingerには複数のバージョンが存在し、簡易型の「RTL819X」と高機能型の「Standard」が確認されている。いずれもボットネットとして必要な機能を備え、以下の攻撃が可能とされる。
- すべての送受信トラフィックの監視と窃取
- DNSトラフィックを改ざんし、ユーザーを悪意のあるWebサイトへ誘導
- 第三者へのサイバー攻撃の踏み台
- DNSリゾルバに対するDDoS攻撃(ただし、実際の攻撃は確認されていない)
Bleeping Computerは「そのような攻撃は観察されていません」と述べ、DNSリゾルバーへの攻撃の形跡はないと報告している。
—
影響と対策
奇安信のXLabチームが特定した被害地域は、韓国が約48.45%と最多。次いで中国(約31.82%)、スウェーデン(約6.4%)、マレーシア(約3.5%)、シンガポール(約2.5%)となっている。侵害が確認されたデバイスは以下の通り。
- DIR-850L(約75%)
- DIR-818LW(約13%)
- DIR-816L、DIR-818L、DWR-118、DIR-817LW(各約1.3%)
- その他(約18%)
これらのデバイスはすべてサポート終了(EOL)に達しており、ベンダーによるセキュリティアップデートは提供されていない。Bleeping Computerは、該当ルータを使用するユーザーに対し、ファームウェアのアップデート、デフォルトパスワードの変更、リモート管理パネルの無効化を推奨。さらに、デバイスの使用中止と新しいルータへの買い替えを強く提案している。
