ハードコード化された認証情報に起因する問題は、一般消費者向けのIoT機器だけでなく、「SCADA(産業制御システム)」の機器、さらには電力会社などの重要インフラにまで影響を及ぼしています。ソースコードとファームウェアの精査が求められているにも関わらず、このような IoT機器の不具合は後を絶たず、ユーザのプライバシーとデータセキュリティ上の懸念となっています。
セキュリティリサーチャの Elliot Williams氏は、DBL Technology製のほとんどの「GSM-to-IP(VoIPゲートウェイ)」の機器にハードコード化された認証情報が存在し、この認証情報で外部からアクセスすることにより、ルート権限があるシェルを利用できる恐れがあることを報告しました。確認された不具合は製造業者に報告されましたが、製造業者は、その対策として、チャレンジレスポンス形式の認証を複雑化しました。とはいえ、そのアルゴリズムはリバースエンジニアリングによって取得できるため、根本的な修正とは言えません。詳細についてはTrustwaveのブログ記事で解説されています。また、この不具合を悪用するツールは、「GitHub」でも入手可能となっています。
インターネットに接続された機器の検索エンジンである「SHODAN」を使って DBL Technology製 VoIPゲートウェイ機器について検索したところ、チャレンジレスポンス認証方法の更新前および更新後どちらの機器もインターネット上に確認されました。これらの機器は、主に英国、ブラジル、ウクライナ、ドイツに確認されています。無作為に選んでテストした機器は、新しいチャレンジレスポンス認証のファームウェアに更新済みの機器であることを示していました。
図1:不具合を抱える DBL Technology製機器を表示する「SHODAN」の検索結果
VoIPゲートウェイ機器が乗っ取られると、LAN上の VoIPソフトウェアに危険が及ぶ恐れがあります。不正な着信および発信、音声メールボックスへのアクセス、SIPプロトコルを利用し IPを介して実行される電話回線トランクへのアクセス、ネットワーク内で縦横無尽に動きまわる不正活動などが攻撃者により実行可能になります。ルータモードで家庭用ルータのように利用することも可能なため、乗っ取られた場合、接続している PCも危険にさらす恐れがあります。
トレンドマイクロでは、IoT機器や VoIPゲートウェイ機器を直接インターネットに接続しないことを推奨します。このような機器を直接インターネットに接続すると、ルータの備えている保護機能が無効となるためです。
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)