JPCERT/CC が 7月29日に公開した「インターネット定点観測レポート(2015年 4~6月)」において、53413/UDP 宛てのパケット増加が 6月中旬から下旬にかけて観測された旨が注意喚起されています。53413ポートは一般的な使用目的が決まっていないポートですが、トレンドマイクロでは本ブログの 2014年8月の記事において、このポートを使用している Netis製ルータが持つ脆弱性の存在について注意喚起しています。
■狙われた Netis製ルータの脆弱性
本ブログでも既報の通り、「Netis」は中国国内で人気のネットワーク機器メーカ「Netcore」社の中国国外向けのブランド名です。ほとんどの Netis製ルータにはデフォルトで UDP の 53413ポートが開放されており、WAN側から接続可能になっています。この 53413ポートはファームウェア上でハードコードされた単体のパスワードで「保護」されていますが、それこそが脆弱性の本体です。すでにこのパスワードは明らかになっており、パスワードを入手した人物は誰でも外部から Netis製ルータに接続し不正アクセスが可能です。JPCERT/CC によれば、この 6月に観測された日本における 53413ポートへの通信増加は、まさにこのルータの脆弱性を狙い遠隔操作のためのボットを感染させる目的の攻撃であったようです。
■ルータを狙う攻撃の対象は拡大中
IoT(Internet of Things、モノのインターネット)時代を迎えるにあたって、インターネットと家庭を結ぶポイントであるルータがセキュリティの要としてこれまで以上に注目されてきています。
本ブログでは 2014年以降にルータを狙う攻撃について、今回の Netis製ルータ以外にも以下の 4件の事例を報告しています。
| 2015年6月1日 | 家庭用ルータの DNS設定変更を行う不正プログラムを確認 |
| 2015年5月26日 | 家庭用ルータを狙って偽の警告文を表示する新たな攻撃を確認 |
| 2015年3月30日 | 家庭用ルータを攻撃してネットワークを探索する不正プログラムを確認 |
| 2014年5月23日 | ルータに存在する脆弱性、DNSポイズニングに誘導 |
また、国内ではルータの脆弱性から DDoS攻撃に利用される事例が警視庁から繰り返し注意喚起(2014年7月、2015年6月)されています。また、無線ルータの不正利用からサイバー犯罪に悪用される事例も総務省から注意喚起されています。
これらの事例を見てもわかる通り、攻撃者はすでにルータを狙い、DDoS攻撃や不正アクセスの踏み台にする、DNS を変更し利用者を不正サイトへ誘導する、といった攻撃を実際に仕掛けてきています。攻撃に利用可能な脆弱性は海外製ルータだけではなく、国内の有力ベンダーでも確認されています。IPA が運営する脆弱性対策情報データベースである「JVN iPedia」によれば、2014年1月以降に 71件のルータ関連の脆弱性が確認されており、うち「危険」を示す深刻度 7.0以上の脆弱性は 24件でした。
ルータを狙う攻撃は、自身がサイバー犯罪の被害者になると同時に、他者への攻撃の踏み台となってサイバー犯罪に加担する加害者にもなってしまう危険性があります。すでにルータのセキュリティ対策は誰もが考慮しなければいけない課題になっていると言えます。
■攻撃者が狙う「2つの放置」
このようにルータが侵害されてしまう原因は「2つの放置」に集約されます。「設定の放置」と「脆弱性の放置」です。特に一般利用者にとって、ルータのようなネットワーク機器は普段から使用している感覚が薄い、そもそも設定を変更するという意識自体がない、などの理由によって「放置」されがちであり、これこそが攻撃者のつけ入る隙となっています。
前出の警視庁が今年6月に行った注意喚起では、すでに 2012年に修正されているルータの脆弱性が放置され、まだ攻撃に利用されていることを示しています。また、管理用アカウント情報や、暗号化設定がデフォルトのまま放置されていることを利用した不正アクセスも多く確認されています。このような「放置」を見直すことが被害に遭わないためにまず必要なことと言えます。しかし、現在でもルータの設定は導入時にプロバイダの人に設定したもらったまま、どう操作したらよいかもわからない、という利用者は多く存在します。今後はさらに一般利用者にルータのセキュリティ管理の責を課すことは難しくなっていくでしょう。セキュリティベンダー、ISP事業者などが「家庭内システム管理者」の負担を減らす取り組みを進めていく必要が高まっていきそうです。