検索:
ホーム   »   脆弱性   »   IoT機器に確認された不具合、外部からのアクセスが可能に

IoT機器に確認された不具合、外部からのアクセスが可能に

  • 投稿日:2017年3月10日
  • 脅威カテゴリ:脆弱性, TrendLabs Report
  • 執筆:Senior Engineer - Philippe Lin
0

IoT機器に確認された不具合、外部からのアクセスが可能に

ハードコード化された認証情報に起因する問題は、一般消費者向けのIoT機器だけでなく、「SCADA(産業制御システム)」の機器、さらには電力会社などの重要インフラにまで影響を及ぼしています。ソースコードとファームウェアの精査が求められているにも関わらず、このような IoT機器の不具合は後を絶たず、ユーザのプライバシーとデータセキュリティ上の懸念となっています。

セキュリティリサーチャの Elliot Williams氏は、DBL Technology製のほとんどの「GSM-to-IP(VoIPゲートウェイ)」の機器にハードコード化された認証情報が存在し、この認証情報で外部からアクセスすることにより、ルート権限があるシェルを利用できる恐れがあることを報告しました。確認された不具合は製造業者に報告されましたが、製造業者は、その対策として、チャレンジレスポンス形式の認証を複雑化しました。とはいえ、そのアルゴリズムはリバースエンジニアリングによって取得できるため、根本的な修正とは言えません。詳細についてはTrustwaveのブログ記事で解説されています。また、この不具合を悪用するツールは、「GitHub」でも入手可能となっています。

インターネットに接続された機器の検索エンジンである「SHODAN」を使って DBL Technology製 VoIPゲートウェイ機器について検索したところ、チャレンジレスポンス認証方法の更新前および更新後どちらの機器もインターネット上に確認されました。これらの機器は、主に英国、ブラジル、ウクライナ、ドイツに確認されています。無作為に選んでテストした機器は、新しいチャレンジレスポンス認証のファームウェアに更新済みの機器であることを示していました。

図1:
図1:不具合を抱える DBL Technology製機器を表示する「SHODAN」の検索結果

VoIPゲートウェイ機器が乗っ取られると、LAN上の VoIPソフトウェアに危険が及ぶ恐れがあります。不正な着信および発信、音声メールボックスへのアクセス、SIPプロトコルを利用し IPを介して実行される電話回線トランクへのアクセス、ネットワーク内で縦横無尽に動きまわる不正活動などが攻撃者により実行可能になります。ルータモードで家庭用ルータのように利用することも可能なため、乗っ取られた場合、接続している PCも危険にさらす恐れがあります。

トレンドマイクロでは、IoT機器や VoIPゲートウェイ機器を直接インターネットに接続しないことを推奨します。このような機器を直接インターネットに接続すると、ルータの備えている保護機能が無効となるためです。

参考記事:

  • 「Another Challenge For IoT: Open Backdoors」
    by Philippe Lin(Senior Threat Researcher)

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)

Related posts:

  1. 潜在する脅威の顕在化-2015年以降の脅威を予測
  2. スマホや IoT機器、社内サーバでも脆弱性の修正が必要?: Linuxカーネルの脆弱性「CVE-2016-0728」から考える
  3. ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加
  4. 新しいLinuxマルウェア、CGIの脆弱性を利用
Tags: IOTVoIPゲートウェイ


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.