ここ数日、「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップと共に謎の「facebook.apk」というapkファイルを強制ダウンロードされて、その後ブラウザもセキュリティページが表示されてGoogleやYahoo!のページすら見れなくなるような被害が起きています。
私の職場でも例に漏れず思いっきりこの被害に会い、取り急ぎ一旦解決したのでその方法を書きます。
同症状に遭われてる方の参考になれば幸いです。
[ ]
本記事公開後色々と情報収集して行き、現在はMiraiウィルスではなくルーターのBASIC認証周りの問題の可能性も高いと認識しています。
特定の機種、特定の条件下で使用しているルーターが攻撃されるようなイメージです。
いずれにしろ対応策は本記事の内容から変更ありませんので、焦らずにしっかりと対応されるようにして下さい。
Contents
「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」のポップアップ
、朝職場に行くと「AndroidのWi-Fiが繋がらない」という相談をされたので、Wi-Fiの再接続やルーターの再起動などを行いましたが全然改善せず。試しにそのスマホでブザウザを開いてみると「セキュリティページが表示」されてGoogleやYahoo!のトップページすら開けない状態になっていました。
この時点で「何かおかしい」とは感じていたものの原因が全くわからず、取り急ぎPCで業務を始めるとChromeで突然「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップが表示されました。
まさにこれが今回の始まりです。
検索しても情報はかなり少なく、試行錯誤するも全然改善しないどころかだんだん他のPCも同じ症状が出るようになり、もはや仕事にならない状態にまでなってきたのでTwitterでヘルプを求めました。
書き忘れたけど、朝会社に来たらAndroidユーザーが「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」ってポップアップ出て強制的にapkファイルをダウンロードされるって事が起きてて、調べたらどうやらNTTのルーターが感染してる可能性あり。という状況。。
— RA's(らす)@T4L (@Tips4Life_me) 2018年3月26日
ポップアップにはOKボタンしかない
この「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップですが、OKボタンしかなく、このOKをクリックすると「facebook.apk」というapkファイルが強制ダウンロードされてしまいます。
ポップアップが表示された時にOKボタンをクリックせずにタブを閉じればfacebook.apkはダウンロードされないのですが、どちらにしろその後だんだんとどのページを開いてもこのポップアップが表示されるようになっていきます。
原因はルーターのウィルス感染!?
今回の被害の原因ですが、おそらく「ルーター自体がウィルスに感染」したのが原因なのかと思っています。
このウィルスですが、「Mirai」という名前のウィルスのようで、数日前からLogitecのルーターを使っている人が同被害に遭われています。
その後、Logitecだけではなく「Buffalo」のルーターでも同症状が、そして昨日現在NTTのルーターまで被害が広まっています。
この件に関しては警視庁でも昨年から注意喚起を行っています。
DNSを書き換えられる
具体的に何をされるのかと言うと、感染した「ルーターのDNSを書き換えられる」というものです。
私がNTTのルーターのDNSを確認した所、以下のように書き換えられていました。
プライマリDNSサーバアドレス:220.136.106.4
セカンダリDNSサーバアドレス:118.168.201.131
結論から言うと、この書き換えられたDNSを元に戻してあげる事で取り急ぎ解決は出来ます。
NTTに問い合わせたが…
ネットワークの接続環境は「ONU」→「NTTのルーター」→PC達という状態でルーターのDNSが書き換えられているので以下のページからNTTに連絡しました。
今回の症状を話しましたが、「そういった話はここには来てませんねぇ…」と言われ終了。
対応してくれた担当さんは正直全然わかってない状態で、私も「そりゃそうだよね…」と思い質問を変更。
とりあえずDNSが書き換えられている」という事はわかっていたので、DNSのプライマリとセカンダリの初期値を教えてもらいました。
今回の解決手順
前述した通り、書き換えられたDNSを元に戻してあげます。
私はNTTルーターの「OG810xi」というルーターを使っているので、前項でNTTの方に教えてもらった情報を元に、
プライマリDNSサーバアドレスの部分(220.136.106.4に書き換えられた項目)に「192.168.1.1」
セカンダリDNSサーバアドレスの部分(118.168.201.131の部分)は削除して「空白」にしました。
※上記は要するに「初期値」に戻すという事です。私の場合プライマリの初期値は「192.168.1.1」でセカンダリの初期値は「空白」でした。
上記を終えたら「設定を保存するボタン」をクリックして保存。
次にルーターの再起動です。(電源の入れ直し)
ルーターの再起動が終わったらブラウザのキャッシュを全て削除します。
「ブラウザのタブを記憶する」設定にしている方も多いかと思いますが、ブラウザのキャッシュを削除していない状態で「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」のポップアップが出たタブを開くと再度ポップアップが出ます。
ブラウザによってキャッシュの削除方法は違いますが、Chromeの例で言うと画面右上の「・・・」を縦にしたようなメニューボタン→「その他のツール」→「閲覧履歴を消去」と進むと以下の画面になるので、念の為全てにチェックを入れてデータを消去をクリックします。
後はPCを再起動でOKです。
NTTのルーターの件、取り急ぎPCは解決!
手順はNTTのルーター管理画面で書き換えられたDNSを初期値に戻して保存→ルーター再起動→PCでそれぞれのブラウザのキャッシュ系全て削除。
これで「Facebook拡張ツール~~」は出なくなってブラウザも通常通り使えるようになりました!#NTTルーターMirai— RA's(らす)@T4L (@Tips4Life_me) 2018年3月26日
一時的な対策でしかない可能性
前述しましたが、今回の被害は恐らくルーターの感染が原因なのかと思っています。
この場合、ここまで書いた内容はあくまで被害を回避する一時的な対策方法で、ルーター自体にセキュリティホールがある場合は再発する可能性は十分あります。
なのでこの後以下の内容を必ず行って下さい。
1.「管理画面のログイン情報の変更」(IDやパスワード)
2.「ルーターのファームウェアの更新」
3.「ルーターのメーカーに問い合わせ」※新しいものと交換してもらえるなら完璧。
4.「可能なら新しいルーターを購入」
今回の職場はもうすぐNUROに契約変更するのでルーターを買い換えるのは少々考えどころではありましたが、結局契約変更までの期間、私が自宅で使っている以下のNECのルーターを持ってきて使う事にしました。
iPhoneは無害
今回の「facebook.apk」のようなapkファイルは通常iPhoneでは使用することが出来ないので、結論から言うとiPhoneユーザーの方は今回被害にはあわないと思います。
ただ、AndroidのスマホやPCなどは普通に対象になってしまいます。
特にAndroidのスマホに関しては、もしかしたらスマホ自体にウィルス感染している可能性もあるかもしれないので、最悪バックアップを取って初期化しなくてはならないかもしません。(未確認)
実際にAndroidのスマホではルーターを通さずにLTE回線でブラウザを開いてもセキュリティページが表示されていました。
まとめ
本記事内の方法で取り急ぎ「facebook拡張ツールバッグを取付けて安全性及び使用流暢性を向上します。」というポップアップと共に謎の「facebook.apk」というapkファイルを強制ダウンロードされて、その後ブラウザもセキュリティページが表示されてGoogleやYahoo!のページすら見れなくなるような症状は回避出来ると思います。
ただ、「一時的な対策でしかない可能性」で書いた通り、必ずその後の対策も行って下さい。
正直私もかなり困ったので、本記事の内容が少しでも同症状に遭われてる方の参考になれば幸いです。
この記事が気に入ったら
いいね ! しよう
ディスカッションコーナー コメントやご質問、その他この記事に関する事はこちらからどうぞ☆
こんにちは。
職場でNTTのOG810Xiを使用していますが、まったく同じ症状に遭遇しました。
書き換えられたDNSサーバのIPアドレスも全く同じですね。
同じくNTTに問い合わせました。
色々たらいまわしにされ、どの部署でも「そういった不具合は聞いていない」と言われました。
最終的に機器サポートの専門部署に連絡することになりましたが、結局大した解決策も提示してもらえませんでした。
本来であれば「facebook拡張~」の文言は重要なキーワードなので細かくヒアリングしてくるべきだと思うのですが、それもなく…
なんだったら「そっちのPCがウィルスに感染したんだろ」的な空気を感じました。
ネットで調べていても、NTTのルータでの感染情報は昨日今日あたりからの話みたいなのでまだ浸透していないのでしょうね。
結局ネットで調べたロジクールのルータの話を参考に対処しました。(結果的にここに書かれている内容と同じになりました)
しかし業務用のルータなんだから早めに対応してもらいたいですね……
全く同じルーターで全く同じ症状、NTTの対応も含め何もかもが同じですね。
無事対処出来たようで良かったです。
ルーターが原因の可能性は高いのでNTTにはもっと迅速に、そして真摯に対応して欲しいと私も思います。
このまま放置だと同じ被害に遭う人や企業は増える一方なのかなと心配です。
こんにちは。
今回の件に関しては、必要なとき以外は野良アプリをインストールできない(提供元不明のアプリを~のチェックを入れておく)ようにしておくのも大事ですね。これだけでも強制インストールの回避はできそうです
PCはAndroid Studioなどアンドロイドアプリ開発環境を入れていない人には関係ないような?
職場のルーターは該当機種でもなければ症状も出てないことで無事で安心いましたが、自宅のルーターの機種を覚えておらず、大丈夫だったかうろ覚えで不安が・・・
>このまま放置だと同じ被害に遭う人や企業は増える一方なのかなと心配です
今回の件での被害も当然ですが、放置することで対応が遅れるほど対応遅れの前例ができ余計狙われる事にもつながりますしね
隠蔽やずれた告知より、NTTほか各社の的確で迅速な対処が行われることを願ってます
事前に対策しておく事は重要ですね。
私の職場の環境ではAndroidアプリの開発環境はないのでちょっとそこはわからないです。
後ほど追記しようと思っておりますが、あれから色々調べていくともしかしたらMiraiではなくルーターのBASIC認証の問題の可能性が高いかもしれないとも感じてます。
どちらにしても管理画面のログイン情報をデフォルトから変更するというのは必須ですね。(元々必須事項ですが変更していない方は…という意味です)