カーネギーメロン大学のセキュリティリサーチャは、2016年12月9日、Netgear製ルータの人気モデル数種に確認された深刻な脆弱性について注意喚起しました。任意のコマンドインジェクションが可能になるこの脆弱性によって、数千台に及ぶ家庭用ネットワーク機器が影響を受ける恐れがあります。この脆弱性を悪用された場合、家庭用ネットワーク機器が完全に制御され、感染機器はボットネットとして利用される恐れがあります。
この脆弱性は、当初、R6400、R7000、およびR8000の3つのモデルに存在すると報じられましたが、その後さらにR6200、R6700、R7100LG、R7300およびR7900の5つのモデルも影響を受けることが確認されました。リモートの攻撃者が、巧妙に細工したWebサイトへユーザを誘導することにより、認証を要求されることなく、脆弱性を持つルータ上で任意のコマンドをルート権限で実行することが可能です。セキュリティ専門家は、LAN接続の場合でも直接的なリクエストによって同様の攻撃を実行することが可能である、と警告しています。 この脆弱性を悪用することは難しくないため、ユーザは対象ルータの電源を切り、代替製品に切り替えるよう推奨されています。Netgearは、12月16日、脆弱性を持つルータのファームウェア更新のセキュリティアドバイザリを発表しました。なお、12月27日現在、影響を受けるすべてのモデルのファームウェアについて公開済みです。
過去の事例に見られるように、ルータに存在する脆弱性はますますセキュリティ上の問題として深刻化しています。「モノのインターネット(Internet of Things、IoT)」の機器利用が着実に拡大する中、企業や家庭のユーザは、感染した機器やセキュリティが確保されていないルータによる脅威にさらされています。攻撃者は今やPCを狙うだけではありません。ルータを狙いユーザの認証情報を取得するのが有効な攻撃手法で あると考えています。
多くのルータ製造業者は、古くなったファームウェアの更新をほとんどしません。攻撃者は、そのような古いファームウェアの盲点を利用してローカルルータの設定にアクセスし、ルーターのユーザ名とパスワードを窃取します。そして、攻撃者は、デフォルトのユーザ名とパスワードでアクセスできるリモート管理インターフェイスを持つ他のルータを探すためのボットネットを構築します。そうして、このボットネットによってさらに別のユーザのルータを感染させます。いくつかの製品では最初からマルウェアに感染している場合もあります。
この数カ月間、「Mirai」を用いた攻撃によってさまざまな被害が生じました。2016年11月には、ヨーロッパ各地の家庭ユーザ約90万人のインターネットへのアクセスが不能となったり、その少し前にはDNSサービスプロバイダ「Dyn」に対する「分散型サービス拒否(DDoS)」攻撃によって、大手Webサイトが広範なサービス停止に追い込まれています。
Trend Microの脅威リサーチ部門「Forward-looking Threat Research(FTR)」のシニア・ディレクターである Martin Roesler は、「このような DDoS攻撃は過去にはなかった攻撃で、IoT のエコシステムが機能していないということだけでなく危険な兆候を示唆している」、と説明します。しかし、問題はインターネット接続業者(ISP)に任せるしか手はないように見られます。例えば、ISP は TCP / IPポートにリスクが存在することを認識する必要があります。ISPがオープンポートから顧客ユーザの IoT機器にアクセスするために、ISP によってのみアクセスが可能になるための必要な措置を講じる責任があります。インターネット上の任意のソースを利用することで、ルータと内部ネットワークの両方が誤って設定される可能性があります。しかし残念ながら、ISP は感染によって損害が発生する可能性を理解しているにもかかわらず、未だに安全面の確保は十分でなく、製品のセキュリティ確保のために取り組む姿勢に欠けているようです。
Roesler によれば、IoT のセキュリティの現状は厳しいとはいえ、これまでに発生した数々の事例は、サポート費用の増大を示しており、ISP が認識を改めるきっかけとなると考えられます。ISP は、ファームウェアが更新されていないルータに対して、適切なプロトコルの実装を開始すると共に、ルータの製造業者へは、ゲートウェイの侵入防御システムなどのセキュリティ増強ツールを導入するよう働きかけるべきです。Roesler は、さらに、「スマートホーム、スマートファクトリー、あるいはインターネット接続車両のような自律システムなど、すべての新しい IoT分野で最初に狙われるのがルータである。攻撃者にとって、ルータは常に最初の攻撃対象となる」と説明しています。
とはいえ、リスク軽減は IoT機器製造業者だけの責務ではありません。ユーザもまた、潜在的リスクを最小限に抑えるため、適切なセキュリティ対策を講じなければなりません。IoT のエコシステムに関わる全員が、セキュリティ確保のための役割を果たす必要があります。ISP は速度や帯域幅を競うだけでなく、セキュリティも優先すべきです。すでに多くの ISP は、セキュリティをサービスの中核部分に含めるように取り組んでおり、セキュリティ面を改善するために実施できる対策は複数あります。
■ルータへの攻撃を軽減するための推奨事項
- 製造業者向け
セキュリティ対策を講じた設計:製品の機能と利便性は不可欠ですが、適切なセキュリティ対策を講じることにより、製品の安全と顧客の信頼を同時に確保することができます。脆弱性検査、その他のセキュリティ監査を定期的に実施:攻撃者の手口を知ることにより、適切なセキュリティ管理をいつ、どのように実施するか、どこに導入するかを、より正確に把握できます。
セキュリティ専門家と提携:製造業者のセキュリティに関する経験には限界があります。機器の設計に従った機能を実装するため、サードパーティのセキュリティ専門家チームとの提携を検討することをお勧めします。
- ISP の場合
セキュリティ上の不具合がないことを確認:セキュリティを脅かす機能が存在する場合は、そのようなコンポーネントを再評価し、ユーザのルータにアクセスする必要のある機能を取り除くことをお勧めします。基準となるフィルタを確立:ISP は、新しく、またまん延しているマルウェアを記録する標準に合意する必要があります。基準となるフィルタを実装することによって、他の ISP と「侵入の痕跡(Indicators of Compromise、IoC)」を共有し、攻撃から防御するのにも役立ちます。
ユーザにセキュリティ通知を提供:ほとんどの場合、攻撃を受けているかどうかユーザが気付くことはありません。ISP は、データを安全に保護し、攻撃による影響を軽減するために、セキュリティ通知を提供し、顧客に修復サービスを提供する必要があります。インフラストラクチャにセキュリティ管理を適用:ファイアウォールや侵入検知などの適切なセキュリティ対策を実装することで、サービスを維持し、攻撃を緩和することができます。
■トレンドマイクロの対策
トレンドマイクロの「ウイルスバスター for Home Network」は、スマート家電に搭載されている OS やソフトウェアの脆弱性を悪用する攻撃をブロックし、スマート家電への不正プログラム感染や、攻撃者による不正な遠隔操作などの脅威を防ぎます。「Asus RT-AC68U/RT-AC87UデュアルバンドWi-Fiギガビットルータ」は、トレンドマイクロの「AiProtection」機能を搭載し、3重の強度のネットワークセキュリティを実現します。
ホームユーザのための洞察と実用的な情報については、以下をご参照ください。
- 家庭用ルータや IoT機器を「ゾンビ化」する攻撃、その影響を解説
/archives/14185
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)