サイトメンテナンスをしているので一時的に表示が崩れる場合があります。何卒ご理解頂けますようお願い申し上げます。

ルーターがウィルス感染!?「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」を解決した方法

title

ここ数日、「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップと共に謎のfacebook.apk」というapkファイルを強制ダウンロードされて、その後ブラウザもセキュリティページが表示されてGoogleやYahoo!のページすら見れなくなるような被害が起きています。

私の職場でも例に漏れず思いっきりこの被害に会い、取り急ぎ一旦解決したのでその方法を書きます。

同症状に遭われてる方の参考になれば幸いです。

Tipsアイコン[  ]

本記事公開後色々と情報収集して行き、現在はMiraiウィルスではなくルーターのBASIC認証周りの問題の可能性も高いと認識しています。

特定の機種、特定の条件下で使用しているルーターが攻撃されるようなイメージです。

いずれにしろ対応策は本記事の内容から変更ありませんので、焦らずにしっかりと対応されるようにして下さい。

「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」のポップアップ

、朝職場に行くと「AndroidのWi-Fiが繋がらない」という相談をされたので、Wi-Fiの再接続やルーターの再起動などを行いましたが全然改善せず。試しにそのスマホでブザウザを開いてみると「セキュリティページが表示」されてGoogleやYahoo!のトップページすら開けない状態になっていました。

この時点で「何かおかしい」とは感じていたものの原因が全くわからず、取り急ぎPCで業務を始めるとChromeで突然「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップが表示されました。

まさにこれが今回の始まりです。

検索しても情報はかなり少なく、試行錯誤するも全然改善しないどころかだんだん他のPCも同じ症状が出るようになり、もはや仕事にならない状態にまでなってきたのでTwitterでヘルプを求めました。

ポップアップにはOKボタンしかない

この「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップですが、OKボタンしかなく、このOKをクリックすると「facebook.apk」というapkファイルが強制ダウンロードされてしまいます。

ポップアップが表示された時にOKボタンをクリックせずにタブを閉じればfacebook.apkはダウンロードされないのですが、どちらにしろその後だんだんとどのページを開いてもこのポップアップが表示されるようになっていきます。

原因はルーターのウィルス感染!?

今回の被害の原因ですが、おそらく「ルーター自体がウィルスに感染」したのが原因なのかと思っています。

このウィルスですが、「Mirai」という名前のウィルスのようで、数日前からLogitecのルーターを使っている人が同被害に遭われています。

その後、Logitecだけではなく「Buffalo」のルーターでも同症状が、そして昨日現在NTTのルーターまで被害が広まっています。

この件に関しては警視庁でも昨年から注意喚起を行っています。

脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について | 警察庁 @police
警察庁によるセキュリティ情報提供サイト。サイバー犯罪・サイバーテロの未然防止及び被害の拡大防止を図るべく、ネットワークセキュリティに関する様々な情報を提供します。

DNSを書き換えられる

具体的に何をされるのかと言うと、感染した「ルーターのDNSを書き換えられる」というものです。

私がNTTのルーターのDNSを確認した所、以下のように書き換えられていました。

プライマリDNSサーバアドレス:220.136.106.4

セカンダリDNSサーバアドレス:118.168.201.131

結論から言うと、この書き換えられたDNSを元に戻してあげる事で取り急ぎ解決は出来ます。

NTTに問い合わせたが…

ネットワークの接続環境は「ONU」→「NTTのルーター」→PC達という状態でルーターのDNSが書き換えられているので以下のページからNTTに連絡しました。

お問い合わせ | NTT東日本
NTT東日本への各種お問い合わせについてご案内します。

今回の症状を話しましたが、「そういった話はここには来てませんねぇ…」と言われ終了。

対応してくれた担当さんは正直全然わかってない状態で、私も「そりゃそうだよね…」と思い質問を変更。

とりあえずDNSが書き換えられている」という事はわかっていたので、DNSのプライマリとセカンダリの初期値を教えてもらいました。

今回の解決手順

前述した通り、書き換えられたDNSを元に戻してあげます。

私はNTTルーターの「OG810xi」というルーターを使っているので、前項でNTTの方に教えてもらった情報を元に、

プライマリDNSサーバアドレスの部分(220.136.106.4に書き換えられた項目)に「192.168.1.1

セカンダリDNSサーバアドレスの部分(118.168.201.131の部分)は削除して「空白」にしました。

※上記は要するに「初期値」に戻すという事です。私の場合プライマリの初期値は「192.168.1.1」でセカンダリの初期値は「空白」でした。

上記を終えたら「設定を保存するボタン」をクリックして保存。

次にルーターの再起動です。(電源の入れ直し)

ルーターの再起動が終わったらブラウザのキャッシュを全て削除します。

「ブラウザのタブを記憶する」設定にしている方も多いかと思いますが、ブラウザのキャッシュを削除していない状態で「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」のポップアップが出たタブを開くと再度ポップアップが出ます。

ブラウザによってキャッシュの削除方法は違いますが、Chromeの例で言うと画面右上の「・・・」を縦にしたようなメニューボタン→「その他のツール」→「閲覧履歴を消去」と進むと以下の画面になるので、念の為全てにチェックを入れてデータを消去をクリックします。

Google Chromeでキャッシュや閲覧履歴を削除する画面

後はPCを再起動でOKです。

一時的な対策でしかない可能性

前述しましたが、今回の被害は恐らくルーターの感染が原因なのかと思っています。

この場合、ここまで書いた内容はあくまで被害を回避する一時的な対策方法で、ルーター自体にセキュリティホールがある場合は再発する可能性は十分あります。

なのでこの後以下の内容を必ず行って下さい。

1.「管理画面のログイン情報の変更」(IDやパスワード)

2.「ルーターのファームウェアの更新」

3.「ルーターのメーカーに問い合わせ」※新しいものと交換してもらえるなら完璧。

4.「可能なら新しいルーターを購入」

今回の職場はもうすぐNUROに契約変更するのでルーターを買い換えるのは少々考えどころではありましたが、結局契約変更までの期間、私が自宅で使っている以下のNECのルーターを持ってきて使う事にしました。

iPhoneは無害

今回の「facebook.apk」のようなapkファイルは通常iPhoneでは使用することが出来ないので、結論から言うとiPhoneユーザーの方は今回被害にはあわないと思います。

ただ、AndroidのスマホやPCなどは普通に対象になってしまいます。

特にAndroidのスマホに関しては、もしかしたらスマホ自体にウィルス感染している可能性もあるかもしれないので、最悪バックアップを取って初期化しなくてはならないかもしません。(未確認)

実際にAndroidのスマホではルーターを通さずにLTE回線でブラウザを開いてもセキュリティページが表示されていました。

まとめ

本記事内の方法で取り急ぎ「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップと共に謎のfacebook.apk」というapkファイルを強制ダウンロードされて、その後ブラウザもセキュリティページが表示されてGoogleやYahoo!のページすら見れなくなるような症状は回避出来ると思います。

ただ、「一時的な対策でしかない可能性」で書いた通り、必ずその後の対策も行って下さい。

正直私もかなり困ったので、本記事の内容が少しでも同症状に遭われてる方の参考になれば幸いです。

シェアして頂けると喜びます☆

この記事が気に入ったら
いいね ! しよう

WordPressでPCやスマホ(iPhone)などのTips(便利情報)、その他日常生活で便利だと感じた事やモノを書いているIT関係のナンデモ屋さんです。
シンプルなプラグインなどもたまに作っていますのでご自由にお使い下さい☆

RA's(らす)@Tips4Lifeをフォローする
その他
記事が良かったらこちらから教えてあげてください☆
Tips 4 Life|毎日が便利で快適なiPhone&PC生活

ディスカッションコーナー コメントやご質問、その他この記事に関する事はこちらからどうぞ☆

  1. bruch より:

    こんにちは。
    職場でNTTのOG810Xiを使用していますが、まったく同じ症状に遭遇しました。
    書き換えられたDNSサーバのIPアドレスも全く同じですね。

    同じくNTTに問い合わせました。
    色々たらいまわしにされ、どの部署でも「そういった不具合は聞いていない」と言われました。

    最終的に機器サポートの専門部署に連絡することになりましたが、結局大した解決策も提示してもらえませんでした。

    本来であれば「facebook拡張~」の文言は重要なキーワードなので細かくヒアリングしてくるべきだと思うのですが、それもなく…
    なんだったら「そっちのPCがウィルスに感染したんだろ」的な空気を感じました。

    ネットで調べていても、NTTのルータでの感染情報は昨日今日あたりからの話みたいなのでまだ浸透していないのでしょうね。

    結局ネットで調べたロジクールのルータの話を参考に対処しました。(結果的にここに書かれている内容と同じになりました)

    しかし業務用のルータなんだから早めに対応してもらいたいですね……

    • RA's(らす)@Tips4Life より:

      全く同じルーターで全く同じ症状、NTTの対応も含め何もかもが同じですね。
      無事対処出来たようで良かったです。

      ルーターが原因の可能性は高いのでNTTにはもっと迅速に、そして真摯に対応して欲しいと私も思います。

      このまま放置だと同じ被害に遭う人や企業は増える一方なのかなと心配です。

  2. harvis より:

    こんにちは。
    今回の件に関しては、必要なとき以外は野良アプリをインストールできない(提供元不明のアプリを~のチェックを入れておく)ようにしておくのも大事ですね。これだけでも強制インストールの回避はできそうです
    PCはAndroid Studioなどアンドロイドアプリ開発環境を入れていない人には関係ないような?
    職場のルーターは該当機種でもなければ症状も出てないことで無事で安心いましたが、自宅のルーターの機種を覚えておらず、大丈夫だったかうろ覚えで不安が・・・

    >このまま放置だと同じ被害に遭う人や企業は増える一方なのかなと心配です
    今回の件での被害も当然ですが、放置することで対応が遅れるほど対応遅れの前例ができ余計狙われる事にもつながりますしね
    隠蔽やずれた告知より、NTTほか各社の的確で迅速な対処が行われることを願ってます

    • RA's(らす)@Tips4Life より:

      事前に対策しておく事は重要ですね。

      PCはAndroid Studioなどアンドロイドアプリ開発環境を入れていない人には関係ないような?

      私の職場の環境ではAndroidアプリの開発環境はないのでちょっとそこはわからないです。
      後ほど追記しようと思っておりますが、あれから色々調べていくともしかしたらMiraiではなくルーターのBASIC認証の問題の可能性が高いかもしれないとも感じてます。
      どちらにしても管理画面のログイン情報をデフォルトから変更するというのは必須ですね。(元々必須事項ですが変更していない方は…という意味です)

Top