編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

シスコ製ルータにマルウェア「SYNful Knock」感染見つかる

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部

2015-09-17 12:57

 セキュリティリスクは、その原因によって幾つかの種類に分類できる。1つは、OpenSSLの「Heartbleed」のように、長年にわたり潜伏していたセキュリティホールが原因となって発生するケース。もう1つは、2015年だけで早くも164件のバグが露呈した「Adobe Flash」のように、そもそもプログラム自体の不具合が多すぎて、セキュリティを確保するのが不可能に近いケース。そしてもう1つが、「PEBCAK」と呼ばれるケースである。これは「Problem Exists Between Chair And Keyboard(椅子とキーボードの間に存在するリスク)」の略で、要は人為的ミスでセキュリティリスクが発生することを指す。現在、Cisco製ルータに拡散しているマルウェア「SYNful Knock」は、このPEBAKの典型例だ。

 セキュリティ企業FireEyeによって発見されたSYNful Knockは、Ciscoの「1841」「2811」「3825」に感染が確認されているが、これらのルータに脆弱性があったわけではない。ルータがSYNful Knockに感染するのは、ルータの管理者認証情報をデフォルトのまま使用したり、漏えいさせたり、無許可の人間にルータへの物理的な接触を許したりするなど、ユーザーのセキュリティに欠陥を与えてしまったことが原因である。これは、泥棒に玄関の鍵を渡すも同然だと言っていいだろう。

 SYNful Knockは、攻撃者が感染したルータを制御し、改ざんされたCisco IOSイメージで危険にさらす可能性のある持続的なマルウェアの1種だ。カスタマイズ可能でモジュールで構成されており、いったん仕込まれるとアップデートされる可能性がある。FireEyeによると、バックドアが攻撃者に「秘密のバックドアパスワードを用いて無制限のアクセス」を与えるという。

 しかし作成者が不注意だったのか、SYNful KnockにはSSHやHTTPS経由でバックドアのパスワードにアクセスできない。つまり、暗号化されていないチャネル経由のアクセスを遮断するだけで、攻撃者はバックドアにアクセスできなくなるのだ。これはわれわれにとって良いニュースではあるが、前述のようにSYNful Knockは簡単にアップデートできる。学究機関のグループがZMapを使用してインターネット上のIPv4トラフィックを検索したところ、SYNful Knock特有の挙動を示しているホストが、米国時間9月15日の時点で79件発見されているという。これらのルータは19カ国にわたる広範な組織が所有している。

 自社のルータがSYNful Knockに感染しているかどうかは、Cisco Talosの「Snort Rule SID:36054」を使用すれば簡単に確認できる。万が一、ルータに感染が確認された場合は、そのルータを直ちにネットワークから取り外し、改ざんされたIOSを正式なIOSイメージで書き換える必要がある。


この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]