【連載リレーコラム（後編）】
「サイバー攻撃者に悪用されはじめた家庭用BBルータ！」
（一般財団法人日本データ通信協会 テレコム・アイザック推進会議 脆弱性保有ネットワークディバイス調査-WG 主査 西部 喜康）

5. 利用しているBBルータを踏み台にされないために

ここまでOpen Resolverや、その他DrDoS攻撃の踏み台になる脆弱性を持ったBBルータの危険性を説明してきました。

では、BBルータの所有者はどのようにしてこのDrDoS攻撃の踏み台として悪用されることからBBルータを守っていけばいいのでしょうか？

基本的には攻撃に悪用されるプロトコルによるリクエストが外部から来た場合、返答を返さない設定で動作する状況にするということになります。

幸いなことに日本のBBルータの製造メーカのほどんどは、攻撃者が悪用する脆弱性が発見され報告された場合、時間の差はあるもののBBルータを動作させるために実装しているファームウェアというソフトウェアのアップデートを公開しています。もしくは、攻撃者に悪用されないための設定の仕方を公開しているメーカも存在します。

これまで一般ユーザは、BBルータを購入し、家庭のLAN環境およびインターネット接続環境を構築し、思い通りに接続環境が動作している場合、BBルータに購入後にどんな脆弱性が発見されたか？ファームウェアのアップデートが公開されたかなどに注意をはらっていることはあまりないかもしれません。

しかしながら、現在のDrDoS攻撃に多くのBBルータが踏み台として悪用されている現状を考えた場合、できるだけ注意を払ってもらいたいと筆者は考えています。

BBルータはハードウェアをソフトウェアによって制御して動かしているあるコンピュータの一種です。PCやスマートフォンなどのディバイスで頻繁に行われているようにソフトウェアのアップデートは頻度の差はあるものの必要なことだと認識し、実行してもらいたいのです。

そうすることで、悪意の第三者に自身の資産であるBBルータを悪用されるリスクは低減することができるのです。

実は自身が契約しているインターネットプロバイダー(ISP)からくるお知らせの文章やメールがありますが、その中でも、この種の注意喚起がされるのです。さらに、BBルータを購入した際に製品パッケージに付属しているメーカへのお客様登録を実施することでメーカから注意喚起が届く場合もあります。

できるだけこの様な情報を収集する努力をすることを強く推奨します。

6. 踏み台になることだけがBBルータを利用するための注意点ではない

これまでは、DrDoS攻撃という近年増加しているサイバー攻撃の踏み台として悪用されると言う観点からBBルータの脆弱性の危険性とファームウェアのアップデートの重要性を説明してきました。

ここで視点を変えてもう一つBBルータ利用において注意しなければならない脆弱性について説明していきたいと思います。

2013年8月〜9月に複数のISPにおいて、国内で過去に販売されたBBルータの脆弱性を悪意の第三者が利用して、BBルータに設定されていたISPへの接続用IDとパスワードを不当に詐取し、詐取した接続用ID/パスワードを悪用しサイバー攻撃が行なわれた、詐取されたと思われる利用者を特定するとともにその対応を実施するとの発表がされました。

この脆弱性は、BBルータの管理(各種設定を行うWeb画面)に関わるものであり
　・外部からアクセスが可能(WAN側からのアクセスが可能
　・設定情報が平文保存されていた
と言うものでした。

また、このBBルータの管理機能へアクセスするためのIDとパスワードの工場出荷時の値は多くの製品で使われているID=admin / PW=passwordと言うものであり攻撃者にとって類推が非常に簡単なものであったと言うこともわかっています。

攻撃者はこの状況を知り、国内のインターネット環境に接続されている対象のBBルータを探し出し、管理機能にアクセスし、そこから、ISPへの接続用IDとパスワードを詐取しました。

そして、その詐取した接続用IDとパスワードを悪用して、契約関係結んでいないISPに対して接続しインターネットを利用し始めるだけではなく、その接続環境で様々なサイバー攻撃を行い始めていたのです。

各ISPはサイバー攻撃を受けている様々なサイトの管理者から対応の依頼を受けています。この依頼に基づく調査において攻撃者への対処をする上で本事象の発見に至った訳ですが、ISPは接続者をこの接続用IDによって認識しますのでサイバー攻撃対応の依頼に基づく攻撃者は詐取された善良な被害者であると一次的に認識してしまいます。

また、悪意の第三者がいつどのようにして善良な被害者から接続用IDとパスワードを詐取したかはわかりようもありませんので、この悪意の第三者を特定することも非常な困難なものになります(これは悪意の第三者の目的の一つ)。

さらに、悪意の第三者は本来の接続用IDとパスワードの持ち主がインターネットを利用できないように詐取したパスワードを変更する、また、インターネット利用におけるオプションサービス(追加メールアドレスやVoIPサービス)などを勝手に追加購入するなどの悪意の行為も行われるようになるに至りISPが利用者保護の必要性から対応に乗り出したというものでした。

さて、ここで考えたいのは、BBルータの管理機能へアクセスするためのIDとパスワードです。このBBルータの管理機能へアクセスするためのパスワードは変更する機能は提供されているとともにマニュアルなどにもその記述はありました。このパスワードを利用者が変更していれば、悪意の第三者は容易にはBBルータに設定されているISP接続用IDやパスワードを詐取できなかったはずです。

にも関わらず少なくない該当BBルータから利用者のISP接続用IDとパスワードが詐取されていました。ということは多数の利用者が工場出荷時設定、購入した時の状態のままで利用していたと言うことに他なりません。

2013年12月に市販されているBBルータを46台購入し、この管理機能へのアクセスするIDとパスワードを調べたところ、IDに関してはrootという値もしくはadminという値であり、パスワードはadminもしはpasswordという値でした。もし利用者が変更していなければ、ID=admin/pw=adminもしくは

ID=admin/PW=passwordの組み合わせで、実に33台/46台のBBルータの管理機能にアクセスできる結果でした。
※ 12台/46台についてはパスワードはユーザ設定

上で説明したように何らかの脆弱性がない場合は、この管理機能へのアクセスは外部からアクセスできる状態にはありませんので、利用者のみが利用する家庭内LANからのみアクセスが可能となっているので、パスワードに関して変更しなくとも問題ないように見えます。

しかし、一度、脆弱性が見つかり悪意の第三者がその脆弱性をついて管理画面にアクセスしてしまえば、この類推の簡易なIDとパスワードが変更されていなければBBルータの設定情報を詐取が簡易に行われてしまいますし、そればかりではなく利用者に気づかれることなく悪意の設定を行うことを可能としてしまいます。

最も恐れなければならない悪意の設定の一つとして、DNS接続設定の悪意の変更であり、これによって通信の傍受や、フィッシングサイトへの誘導が行えてしまいます。
　幸いなことに、この様な悪意の設定をされた報告は今のところありませんが、利用者は自身の保有するBBルータの管理機能への悪意の第三者からのアクセスリスクを最小限にするために管理機能へアクセスするIDやパスワードを変更すること強く推奨します。

7. 最後に

近年、サイバー攻撃を行う悪意の第三者がBBルータの脆弱性を悪用するケースが多くなってきています。

これは、Windows OSを搭載されたPCに代表される広く一般に利用されているPCにおいて脆弱性対応を素早く行うアップデート機能の発展普及や利用者のリテラシーの向上がありPCなどを悪用することができにくい環境が構築されたことなどに起因しているともいえます。悪意の第三者がより悪用が見つかりにくい、対処されにくいインターネット接続機器の悪用をターゲットした結果と考えることもできます。

一方で、インターネットに接続する機器は多種多様化しています。その中には、PCやスマートフォンとは違い利用者の接点を持たず一旦接続し設定をしてしまえば、動作がおかしいと利用者が感じるまで一切顧みない機器も多くなってくるものと筆者は考えます。

しかしながら、それらの機器もPCやスマートフォンと同様にハードウェアをソフトウェアで制御するものであり、ソフトウェアを利用している限り、何らかの脆弱性を内在している場合あり、ソフトウェアのアップデートが行われて行くでしょう。

ですので、今回取り上げた現在問題となっている家庭用BBルータを始め、この様にインターネットに接続している、またこれから接続する機器に関して、出来得る限り、
　・所有している機器の脆弱性情報に留意する、 その情報を得るために機器製造メーカのお客様登録を行う、ISPや機器メーカからのお知らせをよく読む
　・脆弱性対応の通知があった場合は通知にしたがって対応する
　・ファームウェアのアップデートがあった場合は速やかにアップデートする
　・管理機能が悪用されないように、管理機能のアクセスIDやパスワードを自身で変更する
などの対処を常に行っていただきたい。

【部会・WG便り】
★社会活動部会では「2014振り返りライトニングトーク大忘年会」を開催します。
　
　　日時：2014年12月15日（月）16:00〜20:00
　　場所：スタンダード会議室　虎ノ門スクエア2階
　　　　　東京都港区虎ノ門1-15-10 名和ビル2階
　　　　　http://spaceuse.net/toranomon_square/2f_room/
　参加者はもちろん、ライトニングトーク登壇者も大募集中です。
　参加資格は「JNSA会員であること」だけです。奮ってご参加ください。
　お申込みはJNSA事務局までお願いします。


【事務局からの連絡、お知らせ】
★「SECCON2014 オンライン予選（英語/日本語併記）」参加登録受付中です。
　上位11チームには「SECCON2014 全国大会」への出場権が与えられます。
　CTFにご興味ある方は奮ってご参加ください。
　http://2014.seccon.jp/winter2014quals.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。


*************************************
JNSAメールマガジン　第49号　
発信日：2014年11月28日
発行：　JNSA事務局　
*************************************