IoT機器の「深刻」な脆弱性
さて、今回は「IoT機器の脆弱性」についてです。
・長い潜伏期間
複雑な設定なしにIoT機器をネットワークに接続出来る「UPnP」と呼ばれる仕組みに潜む脆弱性が、ハッキングに使われている事が明らかになった。
この問題とユーザーが出来る事について、アカマイ・テクノロジーズが発表したレポートから読み解く。
IoTの時代にあって、ルーターのようなデバイスに脆弱性があるのは周知の事実だ。
業界がセキュリティにきちんと投資してこなかった為に有効な対策は講じられておらず、不正アクセスに利用出来るドアは開いたままになっている。
さらに悪い事に、こうしたセキュリティホールは発見から数年か、下手をすれば数十年もの長きにわたって解決されずに残っている。
コンテンツ・デリバリー・ネットワーク(CDN)で世界最大手のアカマイ・テクノロジーズは、このほどルーターや家庭用ゲーム機といったデバイスへの攻撃が行われている事を明らかにした。
ハッカーたちが使っていた「UPnP(ユニバーサル・プラグ・アンド・プレイ)」と呼ばれるプロトコルの脆弱性は、2006年に見つかっていたという。
UPnPを利用すると、対応した機器をネットワークに接続するだけで自動的に設定が行われる。
このプロトコルは過去10年以上に渡り、様々な場所で脆弱性を巡る問題が指摘されていた。
こうした懸念はこれまでは理論上のものでしかなかったが、アカマイが公表したレポートでは、実際にUPnPのセキュリティホールを利用した攻撃が行われた証拠が示されている。
・理論上の懸念が現実に
確認された事例はデバイス事態を攻撃するのではなく、UPnPを搭載するルーターを不正行為の足掛かりとするもので、DDos攻撃やマルウェアの配布、スパムメールの送信、フィッシング詐欺、アカウントの乗っ取り、クリック詐欺、クレジットカード情報の盗用といった犯罪が行われていた。
ハッカーたちは追跡がほとんど不可能になるようにトラフィックを何度も変更し、攻撃ルートを隠す事の出来る複雑なプロキシーチェーンを作り上げる。
アカマイはこれを「多目的プロキシーボットネット(multi-purpose proxy botnets)」と呼んでいる。
アカマイのセキュリティ情報対応チーム(SIRT)のシニアエンジニアであるチャド・シーマンは、「まず問題のあるデバイスがどれくらいあるのか、また何に使われているのかを調べるところから始めました。この脆弱性は忘れ去られているように見えたからです」と話す。
「どこに問題があるかを見つける為に、いくつか基本的なプログラムを作成する必要がありました。そして実際に異常な動きをしているデバイスがある事が分かったのです。こうした事態は予測していなかったので、正直なところ驚きました。理論上の懸念が現実のものになっている事が分かったのです」
・UPnPの利便性と弱点
UPnPは、ネットワークに接続されたデバイスが、別のデバイスを見つけて互いを認識する為のプロトコルだ。例えば、サーバーがネットワーク上のプリンターの設定を調べるといった事が可能になる。
ローカルネットワークだけでなく、インターネットのようにオープンなネットワークでも機能し、IPアドレスのルーティングやデータフローの調整などを行う。
UPnPは他のプロトコルと連動し、面倒なネットワーク設定を自動でやってくれるのだ。
また、動画のストリーミング再生や家庭用ゲーム機を使う場合のように、プログラムが大量のデータをやり取りする必要がある場面でも使われている。
IoTデバイスが認証無しに(もしくはパスワードが簡単に推測できるものだったり、総当たり攻撃で破る事が出来る状態で)こうしたメカニズムの多くをオープンネットワークに開放していると、ハッカーはそこからセキュリティホールのあるデバイスを探し、攻撃を開始する。
アカマイのチームも同じようにして、UPnPプロキシーを使った問題を発見した。
ネットに接続されたデバイスのうち、特定のUPnP経由のクエリー(問い合わせ)に対して不適切な応答をするものが480万台あり、うち76万5000台は脆弱性のあるプロトコルが解放された状態になっていたという。
そして6万5000台には、実際に問題にあるコマンドを仕掛けようとした痕跡が見つかった。
不正アクセスがあった6万5000台をさらに詳しく調べたところ、最終的に1万7599個のアドレスが検出された。
・サイバー攻撃の増加と、アカマイの決断
こうした問題が発見されたのは最近だが、UPnPを狙った攻撃がこれまで全くなかったわけでは無い。
セキュリティソフトウェア大手のシマンテックは3月に、「Inception Framwork」の名で知られるサイバースパイ集団がUPnPプロキシーを使った攻撃を仕掛けているとのレポートを公表している。
ただ、この種の攻撃は設定が複雑で難しいため、それほど一般的ではないという。
侵入テストを行うImmunityの最高技術責任者(CTO)デイヴ・アイテルは、「数百台もの家庭用ルーターに罠を仕掛ける事は面倒なうえに、攻撃が上手くいくか確かめる事も困難です」と説明する。
「私自身はネットでこうしたハッキングを目にした事はありません。ただ、もし実際に行われているとすれば、かなりの効果を発揮するでしょう」
アカマイが明らかにしたような実装ミスが原因のデータ漏洩によって、ネット上の不正行為が容易なものになってしまうとアイテルは指摘する。
不正アクセスが見つかったルーターなど脆弱性のあるデバイスを開発したメーカーについては、「全く何を考えているんだと言ってやりたいですね」と述べる。
一方で、UPnPプロキシーが単なる不正アクセスではなく、中国など一部の国が行っているネット検閲を回避する為に利用されていたとみられる証拠も見つかっているという。
特定のサイトへのアクセスを遮断する中国の「グレートファイアウォール(金盾)」のようなシステムの内部からでも、このプロキシネットワークを通す事で、普通ならブロックされてしまうサーバーにアクセス出来るようになるのだ。
アカマイのシーマンは、調査結果は慎重に検討したうえで発表したと語る。
問題のあるルーターを特定する事で、情報にアクセスするといったセキュリティホールの「悪意の無い」利用も制限されてしまう可能性があるからだ。
アカマイはそれでも、リスクを公表する決断を下した。
この脆弱性が放置されていた期間の長さを考慮すれば、無視を続けるべきではないと判断したのだ。
・ユーザーが出来る対策は無い?
ルーターがUPnPに起因する不正アクセスを受けていても、利用者は気付かない。
仮に自分のデバイスに問題がある事が分かっても、製品を買い替える以外にやれる事はほとんど無いという。
いくつかのデバイスではUPnPを無効にするといった選択肢もあるが、機能性は低下するだろう。
こうした悪用を防ぐため、過去数年に渡ってUPnPの実装方法の改良がおこなわれている。
だが、アカマイのレポートは73ブランドで400近いモデルについて、何らかの脆弱性があると結論付けた。
サイバー犯罪に対応する米コンピューター緊急事態対策チーム(US-CERT)は、これらのブランドに対して以下のような注意喚起を行っている。
「悪意のあるインジェクション攻撃に対して多数のデバイスに脆弱性があるとの報告を、アカマイから受けています。この問題は以前から知られていたものです」
この為、UPnPプロキシーがどのように、また何の目的があって使われたかについては、不明な点も多く残っている。
ただ、アカマイが目指すのは脆弱性のあるデバイスの数を減らす為に、問題を周知する事にある。
シーマンは「最初に脆弱性が発見された時は、いつかハッカーに悪用されるかもしれない程度の認識でした。ただこれまで、悪用されたという実例は見つかっていなかったのです」と言う。
実際に不正アクセスが確認された今、メーカーが何らかの対策を取る事を期待したい。
※ネット関係は、こちらからどうぞ⇩
