IoT機器の深刻な脆弱性が、長い“潜伏期間”を経て表面化し始めた
複雑な設定なしにIoT機器をネットワークに接続できる「UPnP」と呼ばれる仕組みに潜む脆弱性が、ハッキングに使われていることが明らかになった。
この問題の影響とユーザーができることについて、アカマイ・テクノロジーズが発表したレポートから読み解く。
TEXT BY LILY HAY NEWMAN
TRANSLATION BY NAHO HARVEY
EDITED BY CHIHIRO OKA
TRANSLATION BY NAHO HARVEY
EDITED BY CHIHIRO OKA
WIRED(US) wired.jp/2018/04/27/
IoTの時代にあって、ルーターのようなデヴァイスに脆弱性があるのは周知の事実だ。
業界がセキュリティにきちんと投資してこなかったために有効な対策は講じられておらず、不正アクセスに利用できるドアは開いたままになっている。
さらに悪いことに、こうしたセキュリティホールは発見から数年か、下手をすれば数十年もの長きにわたって解決されずに残っている。
コンテンツ・デリヴァリー・ネットワーク(CDN)で世界最大手のアカマイ・テクノロジーズは、このほどルーターや家庭用ゲーム機といったデヴァイスへの攻撃が行われていることを明らかにした。
ハッカーたちが使っていた「UPnP(ユニバーサル・プラグ・アンド・プレイ)」と呼ばれるプロトコルの脆弱性は、2006年に見つかっていたという。
UPnPを利用すると、対応した機器をネットワークに接続するだけで自動的に設定が行われる。
このプロトコルは過去10年以上にわたり、さまざまな場所で脆弱性を巡る問題が指摘されていた。
こうした懸念はこれまでは理論上のものでしかなかったが、アカマイが公表したレポートでは、実際にUPnPのセキュリティホールを利用した攻撃が行われた証拠が示されている。
理論上の懸念が現実に
確認された事例はデヴァイス自体を攻撃するのではなく、UPnPを搭載するルーターを不正行為の足がかりとするもので、
a. DDoS攻撃や
b. マルウェアの配布、
c. スパムメールの送信、
d. フィッシング詐欺、
e. アカウントの乗っ取り、
f. クリック詐欺、
g. クレジットカード情報の盗用
といった犯罪が行われていた。
ハッカーたちは追跡がほとんど不可能になるようにトラフィックを何度も変更し、攻撃ルートを隠すことのできる複雑なプロキシーチェーンをつくり上げる。
アカマイはこれを「多目的プロキシーボットネット(multi-purpose proxy botnets)」と呼んでいる。
アカマイのセキュリティ情報対応チーム(SIRT)のシニアエンジニアであるチャド・シーマンは、
「まず問題のあるデヴァイスがどれくらいあるのか、また何に使われているのかを調べるところから始めました。この脆弱性は忘れ去られてしまっているように見えたからです」
と話す。
「どこに問題があるかを見つけるために、いくつか基本的なプログラムを作成する必要がありました。そして実際に異常な動きをしているデヴァイスがあることがわかったのです。こうした事態は予測していなかったので、正直なところ驚きました。理論上の懸念が現実のものになっていることがわかったのです」
UPnPの利便性と弱点
UPnPは、ネットワークに接続されたデヴァイスが、別のデヴァイスを見つけて互いを認識するためのプロトコルだ。
例えば、サーヴァーがネットワーク上のプリンターの設定を調べるといったことが可能になる。
ローカルネットワークだけでなく、インターネットのようにオープンなネットワークでも機能し、IPアドレスのルーティングやデータフローの調整などを行う。
UPnPはほかのプロトコルと連動し、面倒なネットワーク設定を自動でやってくれるのだ。
また、動画のストリーミング再生や家庭用ゲーム機を使う場合のように、プログラムが大量のデータをやりとりする必要がある場面でも使われている。
IoTデヴァイスが認証なしに(もしくはパスワードが簡単に推測できるものだったり、総当たり攻撃で破ることができる状態で)こうしたメカニズムの多くをオープンネットワークに開放していると、ハッカーはそこからセキュリティホールのあるデヴァイスを探し、攻撃を開始する。
アカマイのチームも同じようにして、UPnPプロキシーを使った問題を発見した。
ネットに接続されたデヴァイスのうち、特定のUPnP経由のクエリー(問い合わせ)に対して不適切な応答をするものが480万台あり、うち76万5,000台は脆弱性のあるプロトコルが開放された状態になっていたという。
そして6万5,000台には、実際に問題のあるコマンドを仕掛けようとした痕跡が見つかった。不正アクセウスがあった6万5,000台をさらに詳しく調べたところ、最終的に1万7,599個のIPアドレスが検出された。
サイバー攻撃の増加と、アカマイの決断
こうした問題が発見されたのは最近だが、UPnPを狙った攻撃がこれまでまったくなかったわけではない。
セキュリティソフトウェア大手のシマンテックは3月に、「Inception Framework」の名で知られるサイバースパイ集団がUPnPプロキシを使った攻撃を仕掛けているとのレポートを公表している。ただ、この種の攻撃は設定が複雑で難しいため、それほど一般的ではないという。
侵入テストを行うImmunityの最高技術責任者(CTO)デイヴ・アイテルは、
「数百台もの家庭用ルーターに罠を仕掛けることは面倒なうえに、攻撃がうまくいくか確かめることも困難です」
と説明する。
「わたし自身はネットでこうしたハッキングを目にしたことはありません。ただ、もし実際に行われているとすれば、かなりの効果を発揮するでしょう」
アカマイが明らかにしたような実装ミスが原因のデータ漏洩によって、ネット上の不正行為が容易なものになってしまうとアイテルは指摘する。
不正アクセスが見つかったルーターなど脆弱性のあるデヴァイスを開発したメーカーについては、
「まったく何を考えているんだと言ってやりたいですね」
と述べる。
一方で、UPnPプロキシーが単なる不正アクセスではなく、中国など一部の国が行なっているネット検閲を回避するために利用されていたとみられる証拠も見つかっているという。
特定のサイトへのアクセスを遮断する中国の「グレートファイアウォール(金盾)」のようなシステムの内部からでも、このプロキシネットワークを通すことで、普通ならブロックされてしまうサーヴァーにアクセスできるようになるのだ。
アカマイのシーマンは、調査結果は慎重に検討したうえで発表したと語る。問題のあるルーターを特定することで、情報にアクセスするといったセキュリティホールの“悪意のない”利用も制限されてしまう可能性があるからだ。
アカマイはそれでも、リスクを公表する決断を下した。この脆弱性が放置されていた期間の長さを考慮すれば、無視を続けるべきではないと判断したのだ。
ユーザーができる対策はない?
ルーターがUPnPに起因する不正アクセスを受けていても、利用者は気づかない。
仮に自分のデヴァイスに問題があることがわかっても、製品を買い換える以外にやれることはほとんどない。
いくつかのデヴァイスではUPnPを無効にするといった選択肢もあるが、機能性は低下するだろう。
こうした悪用を防ぐため、過去数年にわたってUPnPの実装方法の改良が行われている。だが、アカマイのレポートは73ブランドで400近いモデルについて、何らかの脆弱性があると結論付けた。
サイバー犯罪に対応する米コンピューター緊急事態対策チーム(US-CERT)は、これらのブランドに対して以下のような注意喚起を行なっている。
「悪意のあるインジェクション攻撃に対して多数のデヴァイスに脆弱性があるとの報告を、アカマイから受けています。この問題は以前から知られていたものです」
プロキシーを使うのはIPアドレスを隠すためだ。
このため、UPnPプロキシーがどのように、また何の目的があって使われたかについては、不明な点も多く残っている。ただ、アカマイが目指すのは脆弱性のあるデヴァイスの数を減らすために、問題を周知することにある。
シーマンは
「最初に脆弱性が発見されたときは、いつかハッカーに悪用されるかもしれない程度の認識でした。ただこれまで、悪用されたという実例は見つかっていなかったのです」
と言う。
実際に不正アクセスが確認されたいま、メーカーが何らかの対策をとることを期待したい。