―ルーターのファイアウォールがあれば日々のネット作業は安全だ―我々はこう考えがちだが、事実、ネットワークハードウェアメーカーの対応は遅すぎて、ハッカーたちの新しい手法に追い付いていない。
何がリスクなのか?
信じがたいかもしれないが、ネットワークハードウェアを販売するグローバル企業によって、エンドユーザーはそうとは知らず、セキュリティリスクに日々晒されている。ネットワークデバイスに存在するループホールを知らないからといって、エンドユーザーが非難されることはもちろんないが、メーカー側には責任がある。 ファイル共有・ストリーミングプロトコル(SMB)を、最新の暗号化に対応したSMBv3へアップグレードしているメーカーも確かに多くいるが、ほとんどのメーカーはまだ未対応なのが現実だ。量販店で売っている多くのルーター、スイッチ、アクセスポイントは、依然として危険なSMBv1プロトコルを使用している。
このセキュリティリスクは、近年のWannacryやNotPetyeといったサイバー攻撃をみても明らかだ。2017年5月に起こったこのサイバー攻撃は、もともとはWordファイルを介して感染が広がった。ファイルを開けるとマルウェアが起動する仕組みだ。
Akamai社セキュリティチームの報告によると、同様なセキュリティ脅威が今もなおひそかに実行されており、ハッカーたちは、今度はより一層強力で悪意に満ちたプロキシーネットワークを作るために、そのような脆弱なネットワークデバイスを利用しているという。
勢いを増す脅威
Akamai社が報告した調査結果によると、UPnPプロキシーの脆弱性―広く実装されているUniversal Plug and Playのネットワークプロトコルの悪用―により、ルーターのファイアウォールの背後にある、Microsoftパッチをあてていないコンピューターが標的となっているという。
Akamai社のリサーチャーは、「EternalBlueと EnernalRed (Samba Cryとも呼ばれる)をてこにして、脆弱なルーターの背後にある、何百万のマシンを攻撃しようとしている何者かがいる」と伝えている。
EternalBlueは、アメリカ国家安全保障局(NSA)により、Windows コンピューター上で発見されたエクスプロイト。また、EnernalRedは、Sambaによって発見されたLinuxデバイスのバックドアである。これらはマルウェアEternalファミリーの一部で、脆弱なルーター上のUPnPプロキシーによって改変されたポートマッピング機能を使って、SMBで使用されるサービスポートを標的とする。
お分かりのように、このエクスプロイトはその脅威を増しており、最新のSMBv3プロトコル対応がされていないルーターを介して、攻撃ルートを見つける。攻撃者はルーターの転送機能を利用し、LANを外部ネットワークに露出させる。このルーターから、ハッカーたちは個々のコンピューターやファイアウォールの内側にいるデバイスに到達する。
何百万ものデバイスが、未だに脆弱なSMBv1プロトコルを使用しており、こういった悪意のリスクに晒されている。
数値が示すリスク
Akamai社の報告では、約350万台の脆弱なルーターがインターネット上には存在し、その多く(27万7千台)のルーターには、脆弱なUPnP実装が施されており、そのルーター自身と接続されるインターネット・ゲートウェイ・デバイス(IGD)の制御を、WANやインターネット側にさらけ出していると伝えてる。
Akamai社の実行したスキャンによると、少なくとも4万5千台のコンピューターが、アクティブにネットワークに繋がっていたという。ハッカーたちは新しいコンピューターに到達するべく、ネットワークスキャンを継続していることから、実際の数はさらに大きくなる。
必要な対策―最新のSMBバージョンへのアップデート―を行っている多くの責任感のあるメーカーのおかげで、この脆弱なデバイスの数は減少してきているものの、Akamai社は、こういったネットワーク犯罪者の、システムとデバイスを悪用する手段がいかに巧妙であるか警鐘を鳴らしている。Akamai社はまた、UPnPプロキシーがどのように利用され、今までNATで保護されていたシステムがどのように攻撃されるのかについても伝えている。
何をするべきか?
システムの安全性はよく楽観視され、組織はこれで十分だろうと判断しがちだ。長期使用が当たり前となり、資産管理部門の方針は積極的とはいえない。いくつかのリスクを許容範囲ととらえることもあるだろう。物言わぬハッカーたちは、そのような危機的なシステムを注視している。
UPnPのケースでは、そのような脆弱なルーターを「フラッシュ」したり、UPnPを無効にすれば良いと考える人もいるかもしれない。だが、より安全でシンプルなアプローチは、ルーターの古いSMBを、暗号化機能のあるセキュアなSMBv3に置き換えることだろう。
Visuality Systems, Ltdは、Wannacry発生時より、多くのルーターやスイッチメーカーとパートナーシップを結び、その製品を暗号化機能のあるSMBv3プロトコルに対応させている。すべてのVisuality製品は最新のSMBv3に対応しており、エンドツーエンドの暗号化機能による安全性を保障している。
Visuality Systemsは、今後ネットワーク機器市場からSMB1を完全にシャットアウトすることを希望する、すべてのネットワークハードウェアメーカーとのパートナーシップを期待している。
