セキュリティリスクは、その原因によって幾つかの種類に分類できる。1つは、OpenSSLの「Heartbleed」のように、長年にわたり潜伏していたセキュリティホールが原因となって発生するケース。もう1つは、2015年だけで早くも164件のバグが露呈した「Adobe Flash」のように、そもそもプログラム自体の不具合が多すぎて、セキュリティを確保するのが不可能に近いケース。そしてもう1つが、「PEBCAK」と呼ばれるケースである。これは「Problem Exists Between Chair And Keyboard(椅子とキーボードの間に存在するリスク)」の略で、要は人為的ミスでセキュリティリスクが発生することを指す。現在、Cisco製ルータに拡散しているマルウェア「SYNful Knock」は、このPEBAKの典型例だ。
セキュリティ企業FireEyeによって発見されたSYNful Knockは、Ciscoの「1841」「2811」「3825」に感染が確認されているが、これらのルータに脆弱性があったわけではない。ルータがSYNful Knockに感染するのは、ルータの管理者認証情報をデフォルトのまま使用したり、漏えいさせたり、無許可の人間にルータへの物理的な接触を許したりするなど、ユーザーのセキュリティに欠陥を与えてしまったことが原因である。これは、泥棒に玄関の鍵を渡すも同然だと言っていいだろう。
SYNful Knockは、攻撃者が感染したルータを制御し、改ざんされたCisco IOSイメージで危険にさらす可能性のある持続的なマルウェアの1種だ。カスタマイズ可能でモジュールで構成されており、いったん仕込まれるとアップデートされる可能性がある。FireEyeによると、バックドアが攻撃者に「秘密のバックドアパスワードを用いて無制限のアクセス」を与えるという。
しかし作成者が不注意だったのか、SYNful KnockにはSSHやHTTPS経由でバックドアのパスワードにアクセスできない。つまり、暗号化されていないチャネル経由のアクセスを遮断するだけで、攻撃者はバックドアにアクセスできなくなるのだ。これはわれわれにとって良いニュースではあるが、前述のようにSYNful Knockは簡単にアップデートできる。学究機関のグループがZMapを使用してインターネット上のIPv4トラフィックを検索したところ、SYNful Knock特有の挙動を示しているホストが、米国時間9月15日の時点で79件発見されているという。これらのルータは19カ国にわたる広範な組織が所有している。
自社のルータがSYNful Knockに感染しているかどうかは、Cisco Talosの「Snort Rule SID:36054」を使用すれば簡単に確認できる。万が一、ルータに感染が確認された場合は、そのルータを直ちにネットワークから取り外し、改ざんされたIOSを正式なIOSイメージで書き換える必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
