今日のモノのインターネット(Internet of Things:IoT)端末が標的型攻撃で悪用されているのは、10年以上前から存在する「OpenSSH」の脆弱性だ。
最近多発する「SSHowDowN Proxy」攻撃では、12年前から存在するセキュリティ脆弱性が攻撃者によって悪用されている。研究者たちはこの状況を「Internet of Unpatchable Things」(パッチで修正できないモノのインターネット)と呼んでいる。
クラウドサービスプロバイダーのAkamai Technologiesは米国時間10月12日、増加するIoTベースの攻撃について、レポートを発表した。このレポートでは、最近多発している「SSHowDowN Proxy」攻撃において、12年前から存在するOpenSSHの脆弱性を利用してリモートから大量のトラフィックを生成するサイバー攻撃者が発見された経緯が記録されている。
IoTスレーブネットワークの作成に利用されているこのセキュリティ脆弱性は「CVE 2004-1653」である。CVE 2004-1653はOpenSSHのデフォルト設定でTCPポートの転送が許可されており、遠隔地からポートバウンス攻撃が可能になってしまうという脆弱性。
この脆弱性自体は決して新しいものではないが、IoT端末ベンダーがIoTのセキュリティ確保に取り組まないことが原因で、攻撃者がIoT端末を容易に悪用できる環境が作り出されていることに研究チームは指摘する。
Akamaiによると、大規模なSSHowDowN Proxy攻撃は、監視カメラや衛星アンテナ、ルータ、外部ストレージ製品を含む、膨大な数の無防備な端末を通して可能になっているという。
研究チームによると、認証情報のセキュリティの脆弱さが原因で、攻撃者が無防備な端末のウェブ管理コンソールにアクセスして、SSHトンネルを作成し、IoT端末をホストする内部ネットワークに対してだけでなく、「インターネット上のあらゆる種類の標的、HTTPやSMTP、ネットワークスキャニングといった、あらゆる種類のインターネット向けサービス」に対しても攻撃を仕掛けることが可能になっているという。
これらの攻撃には、DDoS攻撃や不正アクセス攻撃のほか、プロキシ自体やサーバの構成セットアップに不正アクセスしようとする試みも含まれる。
Akamaiの情報セキュリティ担当ディレクターのEric Kobrin氏は、「DDoSなどのウェブ攻撃に関して言えば、われわれは非常に興味深い時代に突入しようとしている。いわば『パッチで修正できないモノのインターネット』だ」と話す。
IoT端末を所有する人は、製品をアクティベートしたらすぐに工場出荷時のデフォルトの認証情報を変更することで大型の攻撃に加担することを防ぎ、自らの身を守ることができる。さらにインバウンドに関するファイアウォールのルールを設定し、外部ネットワークからのSSH接続を妨げるようにすれば、さらにセキュリティは向上する。しかし、すべてのベンダーがこうした変更を可能にしてくれているわけではないのが現実だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
