「古い」バッファローbuffalo製Wifiルーターでボット感染急増中

2025.07.15
この記事は約8分で読めます。

バッファロー

 

 

 

🚨 概要

バッファロー(Buffalo)の一部Wi‑Fiルーターには、Arcadyan製ファームウェアを含む複数モデルで認証不備やパス・トラバーサル(パス抜け)脆弱性が存在します。攻撃者はこれを悪用し、Mirai系ボットマルウェアを侵入させ、ルーターをボットネットに組み込んでDDoS攻撃などに利用するケースが報告されています。

1. 脆弱性の内容と対象モデル

  • CVE‑2021‑20090:パス・トラバーサルによる認証バイパス
    ウェブ管理画面のディレクトリ制限が不適切で、断片的に「../」などを含むHTTPリクエストが可能。これにより、通常ログインしないと閲覧・実行できないファイルにアクセスでき、telnetを有効化する仕掛けや設定変更まで可能 jvn.jp+1トムズガイド+1ウィキペディア+9lionic.com+9Medium+9

  • 他にも CVE‑2021‑20091 / CVE‑2021‑20092 が確認され、それぞれ設定ファイルの注入、不適切な入力検証や情報漏洩に関するもの。Tenable®+1Industrial Cyber+1

  • 影響モデル:WSR‑2533DHPL2/DHP3、BBR‑4HG/MG、WSR‑1166DHP2、WSR‑3200AX4S、WXR‑5700AX7S(ほか多数)Medium+4Tenable®+4lionic.com+4

2. 攻撃の実際とマルウェア拡散

  • 攻撃者は脆弱性をついてHTTP POSTリクエスト経由でtelnet有効化や外部スクリプト(mirai系ペイロード)をダウンロード・実行。

    ルーターが感染し、**ボット化**されます

- **数百万台規模**でArcadyanを含む複数ベンダー製のルーターが攻撃対象に。TenableやJuniper Labsは「世界中で数百万台が危険にさらされている」と警告
- 作成されたボットはMirai系として識別され、DDoSやマルウェア拡散に悪用される可能性が高い 

## 3. インパクトとセキュリティ上の問題
**認証不要でルート権限まで侵害される深刻性**(CVE‑2021‑20090はCVSS 9.9/10):contentReference[oaicite:15]{index=15}
攻撃は数日以内に広まり、パッチ公開後も攻撃は継続。多くのユーザーは脆弱性に気づかず、**ファームウェア更新が十分でない**
一度感染するとボットネットのリソースになり、通信速度低下や不安定化、**地域規模の攻撃源**となり得ます

## 4. 海外当局・セキュリティ機関からの警告
FBIやCISAは類似ルーターへのMirai系マルウェア感染に警鐘を鳴らし、**VPNFilter**など他のIoTボットマルウェアと共に注意喚起しています :contentReference[oaicite:17]{index=17}
Juniper Labs BleepingComputer は「すでに攻撃が観測されている」と報告
## 5. ユーザーが取るべき対策
1. **すぐにファームウェアを最新版へ更新**(公式サイトで最新バージョン確認):contentReference[oaicite:19]{index=19}
2. 未使用の**リモート管理機能(telnet, SSH, UPnPなど)を無効化**
3. **デフォルトパスワードから強固なパスワードへ変更**(Miraiは初期認証狙い):contentReference[oaicite:20]{index=20}
4. 怪しい通信や外部C2サーバ接続の**ログ監視を実施**
5. 可能なら**メーカーサポートやISPに確認**し、安全性確認済みの対応状況を把握## 6. まとめ
この脆弱性は
**構造的な認証バイパス**
**botnet拡散の温床として悪用**
**世界規模の攻撃要因**
であり、ボット感染された場合、ネットワーク全体の安全を著しく脅かします。**対策は至ってシンプル**:「最新版ファームウェアへの更新」、「管理機能の見直し」、「強パスワード設定」。
家庭内やオフィス環境のネットワークセキュリティ対策として、**即時実施が必要**です。

### 📚 参考情報
Tenable「CVE‑2021‑20090(Path Traversal)詳細」:contentReference[oaicite:21]{index=21}
BleepingComputer「実際の攻撃観測報告」:contentReference[oaicite:22]{index=22}
Tom’s Guide「世界で数百万のルーターが狙われている」:contentReference[oaicite:23]{index=23}
JVN「2024年に報告されたバッファロー製ファームウェアの複数脆弱性」:contentReference[oaicite:24]{index=24}

バッファローお客様窓口自動チャット

その他メーカー等

📋 問題ルーター一覧(詳細版)

メーカー 該当機種 主な脆弱性(CVE) 影響 連絡窓口 推奨対処
Buffalo WSR‑2533DHP/ DHPL/ DHP2、WSR‑1166DHP/ DHP2、WXR‑5700AX7S、WSR‑3200AX4S、WCR‑1166DS、A2533DHP2など多数ウィキペディア+5jvn.jp+5lionic.com+5

こちらから該当機種の確認をしてください

 ・CVE‑2021‑20090(パストラバ)
・CVE‑2021‑20091/92(telnet有効化・情報漏洩)
・CVE‑2024‑23486(平文パス)
・CVE‑2024‑26023(OSコマンド注入)		 認証バイパス、ルート権限取得、telnet起動、パス抜き取り 電話:0570‑06‑5506
Web:「Security Notices」ページ		 ①最新版ファームへ更新
②telnet/SSH/UPnP/リモート管理 無効化
③パス変更
④ログ監視
Arcadyanベース 製品 ASUS、Deutsche TelekomなどArcadyan製FW全般 CVE‑2021‑20090 同上 認証バイパス・コマンド実行 各ベンダーの公式サポート 各ベンダー提供FWへ更新
Netgear R7000P、RAX30、R6250、WGR614系、DG834系… ・CVE‑2023‑33532(R6250 コマンド注入)
・CVE‑2023‑1205(Nighthawk X6 CSRF)
・バッファオーバーフロー群(R7000P)
・Telnet無制御起動(DG834)		 認証後コマンド実行、バッファオーバーフロー、Telnetバックドア 電話:0120‑99‑5585 ①FW更新
②リモート機能(UPnP, telnet)無効化
③パス強化
④EoL製品は機種交換
D-Link DIR‑600/605/605L/618/815/820L/826L/830L/836L/DIR‑878/882/823G/DIR‑810Lなど多数 ・CSRF(DIR‑600等)
・情報漏洩(DIR‑605等)
・RCE via DDNS(DIR‑810L等 CVE‑2021‑45382)
・SQLi/XSSなど		 認証回避で設定変更・OS侵害、情報漏洩 電話:0120‑979‑971 ①FW更新
②EoL製品は使用停止・買替
③セキュリティ機能確認・無効化
④パス変更
Cisco Small Business RV016/042/110/130/215などシリーズ CVE‑2023‑2014x系:管理画面XSS 認証有無によりXSS攻撃 Cisco公式サポート FW更新、XSSパッチ適用
FiberHome / TP-Link / Pix-Link 他 FiberHome FD602GW‑DX‑R410、TP‑LINK WR‑886N、Pix‑Link MiniRouterなど XSS、バッファオーバーフロー等 管理画面乗っ取り・任意コード実行 各社公式サポート FW更新、使用停止も検討
VPNFilter対象モデル Asus RT‑AC66U等、D‑Link DIR‑300等多数(リスト参照) VPNFilterマルウェア感染 ルーター完全乗っ取り・破壊活動 各社サポート、CISA勧告 工場出荷リセット+FW更新+ISP確認

🔧 主な対処方法(共通)

  1. すぐにファームウェアを最新版へ更新

  2. 不要な管理機能をオフに(telnet/SSH、UPnP、リモート管理など)

  3. 初期パスワードは強固なものに変更

  4. 疑わしい通信(外部C2等)をログで確認

  5. EoL/サポート終了製品は使用中止し買い替え検討

  6. VPNFilter等のマルウェアには工場出荷状態にリセット+再設定

ボットを放置すると家庭内/社内の通信が攻撃者に監視されます。
同時にルーターに接続されたパソコン、タブレット、スマホ、インテリジェントな家電品などにスパイウエアなどを埋め込みキー入力/カメラ/マイク等を支配します。最悪的には

    1. クレジットカードの情報を盗まれる
    2. 銀行口座から勝手に送金される
    3. amazon、楽天、ポイントサイトなどで勝手に買い物される
    4. 証券会社や仮想通貨などを勝手に売買される(ネット証券の2025年上半期被害額は6000億円近く年度末には1兆円に届きそうです)→NHKニュース
    5. 写真や動画や免許証などの重要な書類をコピーされそれをネタに脅かされる等

ロクなことが起こりません。一度やられると見えない世界での事であり事後の処理が非常に面倒です。

解決するために修理業者に頼むとリセット台数×数万円で巨額の費用が必要です。
警察も電子的なことは現場検証ができないため被害届を受理しにくい事案です。
周りの人に違和感を訴えてもなかなか真に受けてもらえません。しかしながら

 

※証券会社の上半期被害額5700億円(わかっているだけで)は夢ではありません。大変な時代になってしまいましたのでご自身でセキュリティについて理解を深め全体をコントロールできるようになりましょう。

 

困ったときはPC☆LIVE!へGO!
心当たりのある方はひばり教室の松本までお問い合わせください

創業30年元祖安いパソコン教室の体験授業はこちらです ↓↓↓↓↓↓↓↓↓

Verified by MonsterInsights