Aterm WG1200HP4 PA-WG1200HP4 のクチコミ掲示板

Aterm WX5400HPとWX7800T8のBot化の可能性がある件について

[へぼへろ]

この件は、最初はAterm WG1200HP4のメッシュ構成を変更した理由として出てきたハナシなのと、機種ごとに掲示板を分けて書くと収拾がつかなくなるため、引き続き、この掲示板で書かせていただいてみます。

とりあえず、まず、発生した順で、書いてみます。

2024/03/24 Aterm WX5400HP新品とWG1200HP4新古品3台を入手して、メッシュWifiを組む

2024/03/25から 断続的にスマホ(1)の「カメラ使用中」のインジケーターが灯るようようになる

2024/04/12 家族のWin11ノートPCでアマゾンにアクセス中に、ネット接続が不安定になる。アマゾンから
　　　　　　　ヨドバシドットコムに切り替えてWebにアクセスしたところ、そちらでも通信が不安定で、
　　　　　　　やがて画面に「あなたのIPアドレスからDDoS攻撃を受けています」という意味の文字列が表示される。
　　　　　　　この時点で、Win11ノートPCの使用継続を断念してクリーンインストールし直す。
　　　　　　　すると、Win11ノートPCの接続が安定したものへと復旧する。

2024/04/13 仮にネット側からの攻撃が原因とすると、IPアドレスとMACアドレスとを強制的に変更しないと改善
　　　　　　　が見込めないことから、プロバイダーのJcomにケーブルモデムの交換を依頼する。

同日14時頃 操作をせずに充電中だったスマホ(1)から突然に「オッス!!」という音声が再生される。
　　　　　　　そこでスマホのOSをAndroid13→14へとアップデートし、さらに工場出荷時の状態に初期化し
　　　　　　　(ファクトリーリセット)、一からアプリをインストールし直す。

同日19時頃 JCOMの作業員が自宅に到着し、ケーブルモデムの交換を実施する。
　　　　　　　これでも症状が再発するのなら、他の有線LAN接続のPCか、WX5400HPが原因の可能性が高い。

数日間の安静を得る。

続きは、明日以降に書かせていただく予定です。

書込番号：25775357

[nasne使い]

＞へぼへろさん
こんにちは

WX5400HPが原因か、まだ判明してないのですね？

最近のルーターは、ステートフルパケットインスペクションが優先され
フィルターで、内から出ていく接続をフィルターしないと
BOTなどが感染してたら、完全スルーですからね

一度SPIで通信されてると、後から追加した遮断フィルターが働かないから
フィルター設定をしてから再起動しないと、遮断できません

通信logが残るルーターで、外部に出る通信を全部遮断し
安全な通信を許可していく感じで、様子を見るのが良いでしょう

WX5400HPやWX7800T8の有線ハブ側の仕様バグに付いては後日書きます
これが再送リクエスト攻撃っぽく動きます

書込番号：25775807　スマートフォンサイトからの書き込み

[へぼへろ]

＞nasne使いさん

情報をいただき、大変ありがとうございます。
SPIにつきましては、勉強不足で知りませんでした。
https://www.aterm.jp/function/wx5400hp/guide/spi.html
WX5400HPにつきましては、初期値を変更せずに使っていたことになります。

昨日の続きをこれから書く過程で挙げますが、残りの有線LAN接続のWin11デスクトップPC×2台も、通信不安定になりました。

全ての事象に共通する機器は、Aterm WX5400HPなので、それをスルーして各端末に攻撃を仕掛けられているのか、Aterm WX5400HPそのものが乗っ取られているかのように、感じています。

書込番号：25775976

[nasne使い]

2000円の安物の有線ハブの仕様と比べてみても
WX5400HPのLAN側の仕様は、ずさんな状況なので
WX5400HPを経由しないように、有線LANは配置しましょう

実質、このシリーズは、Wi-FiのAPとしてしか使用できません

フロー制御非対応、ジャンボフレーム非対応なので
PC側のドライバーの設定を変えないと、パケロスし
安定しません

再現テストするならTL-SG105Eの設定wab画面で
WX5400HPを経由するとパケロスでバグります

書込番号：25776000　スマートフォンサイトからの書き込み

[へぼへろ]

＞nasne使いさん

理想を言えば、YAMAHAの有線ルーターを母機にして、Wifi用機器をぶら下げたいところなのですが、金銭的な問題で、そこまでは手が出せません。

書込番号：25776426

[へぼへろ]

前日からの続きです。

2024/04/13〜 WX5400HPにプレインストールされているセキュリティソフトの
　　　　　　　　「トレンドマイクロホームネットワークセキュリティ(以下「TMHNセキュリティ」)」を活性化すると
　　　　　　　　インターネット側からルーターへの多数の攻撃を防御した旨のメッセージが現れる。ただし、
　　　　　　　　最終的には、それを、かいくぐって攻撃が成功しているので、メッセージの詳細は省略します。

2024/04/18 スマホ(1)のWifi経由での接続の不安定さが顕著になってきたので、使用継続を断念して、
　　　　　　　　中古スマホ販売サイトから、あえて同じSHARPのAQUOSシリーズでAndroid12のWish2を購入する。

2024/04/20 スマホ(2)が到着したのでWifi接続の設定をし、スマホ(1)は電源を切って保管

2024/04/24 自作メインPCのインターネット接続が不安定になり始める。クリーンインストールの前に、
　　　　　　　　アンインストールしてライセンス数を回復しておかないと、再インストールが厄介になるMSOfficeは
　　　　　　　　アンインストールに成功するが、Norton360はマイ・ノートンにアクセスできない。
　　　　　　　　tracertコマンドも途中で途絶するので、その日は作業を中断する。

2024/04/25 自作メインPCでNorton360をアンインストールして、ライセンス数が復旧したのを確認して、
　　　　　　　　自作メインPCでBackupを取得して、クリーンインストールに着手する。

2024/04/25 17:30頃 自作メインPCのクリーンインストールが完了したので、WX5400HPを家庭内ネットワーク
　　　　　　　　から排除して、家庭内ネットの使用は全面的に停止する。

　　　　　　　　スマホ回線でアマゾンにアクセスして、Aterm WX7800T8を発注する。

2024/04/26 WX7800T8が配達された。まずは、インターネットにつなぐ前に、スマホ(2)とのみWifi接続して
　　　　　　　全てのパスワードを変更し、TMHNセキュリティもインターネットに接続したら速やかに設定
　　　　　　　できるよう、直前まで準備を済ませておく。
　　　　　　　それが完了したらWX7800T8をインターネットに接続し、速やかにTMHNセキュリティを活性化する。
　　　　　　　メッシュLANを構成するために、メッシュ中継機として、もう一台のWX7800T8も設定を施す。

2024/04/30 自作サブPCからのインターネット接続が不安定になる。不確定な要素を少しでも排除するために
　　　　　　　自作サブPCのOS Windows11Proをクリーンインストールし始める。

2024/04/30 20:00頃 自作サブPCのWindows11Proのクリーンインストールが完了する。
　　　　　　　インターネットとの通信も問題なくなっていることを確認する。

2024/04/30〜2024/05/12
　　　　　　　この間、TMHNセキュリティのスマートフォン側アプリに、外部からの攻撃をブロックした旨の
　　　　　　　多数の通知があったが、先述の同様の理由から、詳細については省略。
　　　　　　　但し、攻撃は平日なら夜間限定、休日には日中もなのと、ゴールデンウィークの概念があるので、
　　　　　　　攻撃の一部は自動化されているが、肝心な部分は日本人が実行命令に関わっていると想定。

とりあえず、明日に、また続きを書きます。

書込番号：25776451

[へぼへろ]

TMHNセキュリティーの通知例

一応、WX7800T8にプレインストールされている、「トレンドマイクロホームネットワークセキュリティ」のスマホ側アプリへと通知のあった、攻撃をブロックした記録のスクリーンショットの画像を1枚アップします。

攻撃は、ほぼ1時間43分毎になされているので、恐らく自動化済みで、以降の攻撃パターンも、最終的にブロックをくぐり抜けて攻撃する方法も確立済みと想定されるので、その事前確認程度、もしくは、全てがダミーの可能性があると思われます。

書込番号：25776471

[へぼへろ]

前日からの続きです。

2024/05/12 14:00頃 スマホ(2)から2mぐらい離れたところにいたにも関わらず、スマホ(2)のスピーカーから、カメラ
　　　　　　　　のシャッターを押したときと同じ「パシャッ」という音声が再生される。TMHNセキュリティには警告
　　　　　　　　は挙がっていない。

　　　　　　　　WX7800T8は、もはや防御の用をなしていないと判断し、インターネットに面している「ルーター」と
　　　　　　　　家庭内だけで使っていた「メッシュ中継機」とを入れ替える。その際には、工場出荷時の状態に
　　　　　　　　初期化して、一から全ての設定をやり直す。

2024/05/12〜2024/05/22　この間、TMHNセキュリティに、外部からの攻撃をブロックした旨の多数の通知が
　　　　　　　　あったが、前回同様なので、詳細は割愛。

2024/05/22 スマホ(2)のOSが、Androidそのものによって、Android14にアップデートされる。
　　　　　　　　(攻撃によるものではなく、AndroidOS自身により自動的かつ強制的にアップデートされたもの)

2024/05/23 14:00頃 スマホ(2)の、画面の最上部の通知領域に、通知が表示され、タップすると、モバイル
　　　　　　　　スイカをアップデートするように求められる。そのときは、野良APKであることに気づかずに、
　　　　　　　　アイコンをタップして、インストールしてしまう。
　　　　　　　　アプリ一覧を見ると、モバイルスイカアプリのアイコンが2つある。一旦、両方共にアンインストール
　　　　　　　　する。再度、Google Playストアからモバイルスイカアプリをインストールするも、チャージが
　　　　　　　　できないなど、挙動が不審なため、Wish2 Android14のこれ以上の使用を断念する。

　　　　　　　　WX7800T8のこれ以上の継続使用を断念し、家庭内ネットワークから排除する。代わりに、
　　　　　　　　以前に使っていたNEC Aterm WG1200HP4を家庭内ネットワークのルーターとして、メッシュ
　　　　　　　　ネットワークを構築する。

とりあえず、時系列でのインシデント報告は、以上です。

書込番号：25777756

[へぼへろ]

この件について、

WindowsPC×3台＋Androidスマートフォン×2台　の全てにセキュリティホールがある、と考えるのか
Aterm WX5400HP1台＋WX7800T8×2台　の全てにセキュリティホールがある、と考えるのかは、
意見が分かれるところかと思います。

なお、ログが有れば解析する、と申し出てくれた機関はあるのですが、今回の対象となったAterm各機には単体でログをとる機能がなく、

Jcom → 警察等の公の機関から開示の請求があればログ提供の対応をする。
警察→スマホの各異常動作についての、録音等の具体的な証拠がなければ、開示の請求ばできない。

とのことですので、これから、CATVモデム−Aterm間のパケットログを自力で取得することができないか、試行錯誤してみる予定です。

書込番号：25777769

[へぼへろ]

この一連の件について、NECからは、

　たとえセキュリティホールだったとしても、あなた一人ぐらいどうなってしまっても構わない。

という意味のことを言われてしまったので、とりあえず、クローズします。

なお、CATVモデムとルーターの間の通信については、ログの代わりに、全部のパケットをキャブチャーする方法が見つかったので、進展がありましたら、また報告させていただきます。

書込番号：25791579

[京都単車男]

＞へぼへろさん

Windows自身にCVE-2024-30078の脆弱性が今月の定例アップデートまでありましたが、関連性はどうです？

個人的には外部より内部にいらん事してる奴が、っぽい気もしますが

書込番号：25791929

[へぼへろ]

＞京都単車男さん

情報、ありがとうございます。

最初に外部サイトにDDoS攻撃を実施したのは、Wifi接続のWindows11HomeのPCの、Thinkpad E15 Gen.2 AMDであったので、この1台がWifi経由で最初に堕とされた可能性は排除できない、とは思います。

ただ、もし、Atermが無実である可能性があるセンとしては、

・最初に陥とされたWindows11のThinkPad E15 Gen.2 AMDが、Wifiから有線経由で、他の2台の有線LAN接続Windows11Proの「自作メインPC」と「自作サブPC」とを有線経由で次々と陥とせるようなWindowsの脆弱性の存在

・Windows11がAterm経由でSHARPのAQOUSシリーズ(少なくともSense8とWish2)のAndroid12・14のスマートフォンのスピーカーを乗っ取れるようなAndroidの脆弱性の存在

の両方が必要な気がしています。

書込番号：25793060

[げんげんHGR]

WG1200HP4新古品をメルカリで見つけてこのページに来て、本スレッドがあったのでドキリとしましたが、話を追った限りではWG1200HP4にbotが最初から仕込まれていた、という可能性は低そうなのでちょっと安心しました。

最近のAtermでは、管理パスワードも最初から1台ずつ異なるものが設定されているので、ウィルスが固定パスワードでログインはできないですよね。なので何らかの脆弱性が突かれたので無ければ勝手にbot化されるのは、考えにくい気はします。ブルートフォースでパスワードが破られたとしても、ローカルファイルをファームウェアとして書き込む機能がないので、botの入った改造ファームを仕込むにはDNS設定を変更して、偽サイトからファイルをダウンロードさせるしかないと思いますが、偽サイトはhttpsの正規の証明書を提示できないので、Atermでちゃんとチェックしていれば偽サイトからのファームインストールもできないはず。

でもAterm内部を理解している攻撃者が、脆弱性を突いてbotを動かすことに成功したとしたら、別の方法でファームウェアを書き換える可能性もあり得るようには思います

もしbot化されて改造ファームウェアをインストールされてしまったら、逆に正規のファームに戻す方法は無いように思いました。

書込番号：25827751

ファームウェアバージョンアップ

[onpn6eqe]

PA-WG1200-HP4用ファームウェア
2023年8月22日
ver1.7.2

今日、自動適用ファームウェアで本機種の再起動後に各種チェック、WiFiがオフラインになり、
最近バージョンアップがあることを知りました。
この情報を他の人にも知らせます。

書込番号：25396907　スマートフォンサイトからの書き込み

[toshi1111]

ファームウェアバージョンアップ後に、WG1200HP4（中継機/子機モード）で、
一部の親機と2.4GHzでの接続ができない件
https://www.aterm.jp/support/tech/2023/0907.html

書込番号：25419445

[おさむ3]

アプデしたらダメなやつですね

前のスレの人
https://bbs.kakaku.com/bbs/K0001296637/SortID=25394223/#tab
このアプデのせいなのでは？

書込番号：25419512

[Linear55]

更に改善されたらしいファームアップ来てますね。

2023年9月21日更新　対策ファームウェア（Ver.1.8.0）

https://www.aterm.jp/support/tech/2023/0907.html

書込番号：25432056

2022/09/15バージョンアップ

[BIGN]

バージョンアップされました。
(午前中に書き込んだつもりでしたが書き込まれてなかった。)

https://www.aterm.jp/product/atermstation/info/2022/info0915b.html

書込番号：24924334

[DUALFEEL]

来ましたね！親子入れ換えます！

書込番号：24924860　スマートフォンサイトからの書き込み

2022/6/16バージョンアップ

[BIGN]

バージョンアップされました。

https://www.aterm.jp/product/atermstation/info/2022/info0616.html

書込番号：24795919

[hitoro2003]

PA-WX5400HPとのメッシュ接続対応を待っていますが、これがそれになるんでしょうかね

週末にでも試そうと思いますが、試された方います？

書込番号：24795984

一ヶ月と5日で壊れた

[京都単車男]

レビューにあるけど、保証期間内の初期不良は面倒で運は悪いけど、修理や交換無料だし、どんな製品でも一定数あります

稀な例と的確でしたが

販売店かメーカーに連絡しましょう

メーカーや販売店のその後の対応の方が参考になるかな


快適に使えてたのは参考になります

レビューにもコメント欄欲しいですね

書込番号：24505105

[高坂穂乃果と高海千歌]

本体が壊れたのではなく、ACアダプターが壊れた可能性が高いですね。

ACアダプターって突然死するので、てっきり本体が壊れたと思って、新しいルーターを買った後、
ダメ元で新しいルーターに付いているACアダプターを使用してみると。。。

あらびっくり。電源が入った。
予備のACアダプタも付属して欲しいですね。

書込番号：24795962　スマートフォンサイトからの書き込み