★☆★JNSAメールマガジン 第48号 2014.11.14.☆★☆

こんにちは
JNSAメールマガジン 第48号 をお届けします。

今朝は今年一番の冷え込みだったようですね。
でも情報セキュリティ業界では、サイバーセキュリティ基本法の成立や日本版NCFTA「日本サイバー犯罪対策センター(JC3)」の業務スタートなど熱い話題が盛りだくさんです。JNSAでも11月7日に日韓シンポジウムを開催し、今後の情報セキュリティ分野における日韓の相互協力について確認を行ったところです。

さて、今回のリレーコラムは一般財団法人日本データ通信協会 テレコム・アイザック推進会議/脆弱性保有ネットワークディバイス調査-WG 主査西部喜康様より、家庭用ブロードバンドルータの問題点についてご寄稿いただきました。西部様のコラムは2回にわたって連載します。

【連載リレーコラム(前編)】
「サイバー攻撃者に悪用されはじめた家庭用BBルータ!」
(一般財団法人日本データ通信協会 テレコム・アイザック推進会議 脆弱性保有ネットワークディバイス調査-WG 主査 西部 喜康)

1. Open Resolverを利用したDDoS攻撃

2013年3月それまで考えられていなかった規模のDDoS攻撃が発生しました。このDDoS攻撃は欧州スパム対策組織のSpamhaus Projectと同組織を支援した米Cloudflare社を攻撃目標としたもので様々なセキュリティ団体の報告によるとこれまでで最大規模となる300Gbps以上のトラフィックを観測したとされています *1)。

さらに、この攻撃に利用された手法としてDNS Amp攻撃 / DNSリフレクション攻撃と呼ばれる手法が使われたことが報告されています。

この攻撃は、Open Resolverと呼ばれる誰からのリクエストにも応答するDNSサーバを悪用して攻撃対象に大量のトラフィックを送りつける攻撃です。

世界中のOpen Resolverの状況を調査しているOpen Resolver Project *2) が、このようなOpen ResolverとなっているDNSサーバーが全世界に2000万台以上存在しているという調査結果を発表しています。また、このようなサーバーは日本国内にも数多く存在していることがわかっており、50万台以上である報告されています。

では、この多数のOpen Resolverとはどのようなものなのでしょうか?と言うことが問題になります。
この答えの一つが実は脆弱性を持った家庭用ブロードバンドルータ(以下、BBルータ)であるということがわかっています。

2. Open Resolverとなっている多数の家庭用ブロードバンドルータ

ルータとは、異なるネットワーク同士を相互接続する機器のことです。BBルータは、ルータの中でも光接続サービスやADSLなどのブロードバンドによるインターネット接続を前提として販売されている機器と考えてよいと思います。実際に使用する時のイメージとしては「インターネット」と「家庭や会社のLAN」という2つのネットワークを接続するための機器と考えられます。

現在では、パソコン、スマートフォン、携帯型ゲーム機に代表されるモーバイルディバイスの高度化・普及に伴い家庭内で複数のICT機器が使われることが一般的になっていますので、家庭内にネットワーク(家庭内LAN)が構築されている環境が一般的になっておりBBルータの管理下にはこの家庭内LANがおかれることになります。そのため、一般的に販売されているBBルータはこの家庭内LANを制御・構築するための様々な機能が実装されています。

Open Resolverが問題視されているDNSの機能も実はこの家庭内LANを簡単に構築し運用する機能として実装されているDNSフォワーダーが関与しています。

インターネット上で何らか情報にアクセスする場合、人間はwww.hegehoge.co.jpといった有機的なドメイン名というもので通信先を指定します。しかしICT機器は10.0.0.10といった無機的なIPアドレスで通信先を認識します。このドメイン名からIPアドレスに変換する名前解決を実現するのがDNSの仕組みです。

このDNSの仕組みを、家庭内LANに接続されているインターネット接続機器に提供しているのがBBルータに実装されているDNSフォワーダー機能となります。

当然、BBルータがこのDNSを提供しなければいけないのは自分が制御している家庭内LANに接続されているICT機器だけで、家庭内LAN側に接続されているICT機器からのDNSリクエストのみを受付け、BBルータのWAN側からのリクエストは拒絶するのがセキュリティ上のリスクを低減する仕様であることは今では認識されています。

しかしながら、BBルータのDNSフォワーダーが外部から悪用されOpen ResolverとしてDDoS攻撃の踏み台として悪用されると、セキュリティ関連団体やBBルータを製造するメーカが認識したのも先に説明した2013年3月のSpamhaus ProjectへのDDoS攻撃の報告を受けての話だと思われます。

この攻撃者の踏み台になり悪用される可能性が認識されず考慮しないまま製造された一部のBBルータにおいてその脆弱性(Open Resolverとして機能してしまう)を保有したまま販売され実際にインターネットに接続されているのが現在の状態なのです。

実際、2013年12月に市販されているBBルータを46台購入しインターネット接続状態にしOpen Resolverとして機能する脆弱性を持っているかを調べてみましたが、残念ながら工場出荷時状態で接続した場合、機種の公表は避けますが2台がOpenResolverであることを確認できました。

BBルータがOpenResolverとして悪用されることが問題となり認知され、様々なセキュリティ団体がこの問題を指摘した後に市販されている製品でも極わずかながらその対処がなされていなものが存在しますので、この問題が認知される前に販売された製品では、この脆弱性を保有した製品は少なからず存在すると考えてしかるべきです。

国内のブロードバンドインターネットを利用している家庭は4000万以上と言われており、BBルータをご利用のご家庭もほぼそれに近い数であると考えられます。これは非常に大きい数字であり、その一部がOpen Resolverであったとしても、Open Resolver Projectが日本国内に約50万台あると報告しているように巨大な数字になると理解することができるのです。

3. Open Resolverの危険性

では、この問題がインターネット社会という観点とBBルータを利用している所有者の観点でどのような問題になるかを考えてみましょう。

まず、Spamhaus ProjectへのDDoS攻撃が世の中に認知されたという事実と、その攻撃が多数のBBルータの脆弱性を悪用したものであったと言う事実で読み解くと、攻撃者すなわち悪意を持ってインターネット上にあるサイトであったりサービスであったりを攻撃したいと考えてる第三者にとって非常に簡易に高トラフィックのDDoS攻撃を行うことができることを知らしめたことになります。

この攻撃が認知されるまでは、基本的に攻撃者は攻撃を成立させるための高トラフィックを生み出すために踏み台にできるPCを多数探しだしたり、マルウェアを作成し流布する必要がありました。
しかしながら、国内インターネットに50万台、全世界中では2000万台規模でOpenResolverと言う脆弱性を持ったBBルータが存在する環境においては無作為に攻撃通信(パケット)を送り出しても攻撃が成立しうる環境となっていると言うことが出来、攻撃者は非常に簡易に攻撃行動を成立することが出来得ると言えます。

実際、Open Resolverを悪用したDNS Amp/リフレクション攻撃は2013年3月以降、愉快犯と思われる攻撃も含め増加傾向にあることが多数のセキュリティ団体より報告されています。

また、このような状況においては、踏み台にされてしまったBBルータの所有者は突然、まったく知らないサイトの管理者などから攻撃者として認識され、何らかの通知をうけたり謂れのない犯罪者と誤認される可能性があることになります。

4. 実はOpen ResolverだけではないBBルータの脆弱性

では、BBルータの脆弱性はこのDNSフォワーダー機能が外部から悪用されてしまうOpen Resolverのみでしょうか?

残念ながらOpen Resolverだけではありません。

US-CERTと言う米国のセキュリティ団体が2014/01/17に公開した資料 *3) では、Open Resolverとして悪用されるDNSのプロトコルだけではなく、多数のインターネットで使用されるプロトコル、NTP、SNMPv2、NetBIOS、SSDP、CharGENなどがリフレクション攻撃に悪用されるとして注意を促しています。この中にBBルータにおいて実装されているものも多数存在します。

また、本年1月から2月にかけてここで注意が促されているNTPを悪用した大規模なリフレクション攻撃(DDoS攻撃)が実際に起こっていることが報告されています *4)。

更に、本年10/17には警察庁が国内でUPnP(Universal Plug and Play)で使用されるプロトコルSSDP(Simple Service Discovery Protocol)を悪用したSSDPリフレクター攻撃を確認しているとして、管理するネットワーク機器が攻撃の踏み台として悪用されないために対策を行うことを推奨しますとして注意喚起を行う事態となっております *5)。

この様に悪意の第三者はBBルータを含むネットワーク機器の脆弱性を執拗に調べ悪用可能な脆弱性を次から次へと変えながらリフレクション型DDoS攻撃(以下、DrDoS攻撃)をしかける状況となっています。


*1) Spamhausの2011年10月14日付発表(英文)
http://www.spamhaus.org/news/article/673
*2) http://www.openresolverproject.org/
*3) https://www.us-cert.gov/ncas/alerts/TA14-017A
*4) http://blog.trendmicro.co.jp/archives/8437
*5) http://www.npa.go.jp/cyberpolice/detect/pdf/20141017.pdf

#連載リレーコラム、ここまで
 次号では、BBルータの所有者はどのようにDrDoS攻撃の踏み台として悪用されることからBBルータを守っていけばよいかについて解説します。

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★西日本支部主催セミナー「WG合同セミナーin Kansai」開催!
 http://www.jnsa.org/seminar/2014/1203/

  日時:2014年12月3日(水)13:30〜16:30(受付開始13時)
  場所:株式会社インターネットイニシアティブ 関西支社
     (大阪府大阪市中央区北浜4-7-28 住友ビルディング第2号館)
http://www.iij.ad.jp/company/about/map/kansai.html
 会場内にワーキンググループ有志の情報セキュリティの専門家による個別相談のコーナーも設けます。ぜひご参加ください。

★社会活動部会では「2014振り返りライトニングトーク大忘年会」を開催します。
 
  日時:2014年12月15日(月)16:00〜20:00
  場所:スタンダード会議室 虎ノ門スクエア2階
     東京都港区虎ノ門1-15-10 名和ビル2階
     http://spaceuse.net/toranomon_square/2f_room/
 参加者はもちろん、ライトニングトーク登壇者も大募集中です。
 参加資格は「JNSA会員であること」だけです。奮ってご参加ください。
 お申込みはJNSA事務局までお願いします。

★「IT・セキュリティキャリア女性活性化WG」では、証明書と暗号化に関する勉強会を開催します。
 JNSA会員企業の方でしたら男女問わずどなたでも参加できます。
 申込み期限は<11月28日(金)まで>です。参加希望の方は事務局までご連絡ください。

 「いちから学ぼう、身近な証明書と暗号」
  日時:2014年12月5日(金) 17:15〜19:00
     ※勉強会終了後に懇親会も予定しています。
  場所:日本マイクロソフト株式会社

【事務局からの連絡、お知らせ】
★11月7日に開催しました「第4回 日韓情報セキュリティシンポジウム」は盛況のうちに終了いたしました。多くの方のご参加ありがとうございました。
  場所:日本マイクロソフト株式会社
 次回は2015年7月に韓国ソウルで第5回日韓情報セキュリティシンポジウムを開催することが決まりました。
  場所:日本マイクロソフト株式会社

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail

*************************************
JNSAメールマガジン 第48号 
発信日:2014年11月14日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.