UPnPを悪用した新しいDDoS攻撃--セキュリティ企業が報告

　以前からセキュリティの懸念があるUniversal Plug and Play（UPnP）ネットワークプロトコルにおける脆弱性を利用したDDoS攻撃が報告された。脆弱性は既知だが現在も悪用可能であり、攻撃者は今回検出のための手法を回避している。

　攻撃はイレギュラーなポートから行われている。そのため、源がどこかを決定して、将来インシデントが起きないよう保護するためにそのポートをブラックリスト化することを難しくしている。

　このDDoS攻撃を発見したセキュリティ企業のImpervaによると、不明な攻撃者により過去に攻撃が行われているという。

　ImpervaのセキュリティリサーチチームリーダーであるAvishay Zawoznik氏は米ZDNetに対し、「簡単に悪用できるIoTデバイスのケースがよく議論されているように、ほとんどのUPnPデバイスベンダーはセキュリティよりも、プロトコルの準拠や簡単に提供できる点にフォーカスしがちだ」と述べた。

　「多くのベンダーが、セキュリティ改善のためにわざわざ修正するようなことはせず、オープンなUPnPサーバ実装を自分たちのデバイスに再利用している」とZawoznik氏は言う。

　UPnPに関連する問題は2001年にさかのぼるが、このプロトコルは簡単に利用できることから現在でも幅広く実装されている。しかしZawoznik氏は、「既知の脆弱性を利用する、新しいDDoS攻撃のテクニックを発見している。オンラインで展開するあらゆる企業が攻撃のリスクにさらされる可能性がある」と述べている。

　Impervaの研究者らは、4月に確認したSSDP（Simple Service Discovery Protocol）攻撃で、これまでとは違う点に気がついた。この手のボットネットは小規模で被害者のIPアドレスをスプーフィングしてルータやプリンタ、アクセスポイントといったインターネットに接続されたデバイスを探索する傾向がある。

　SSDPが使用する1900番ポートから攻撃が行われることがほとんどだが、今回の攻撃ではペイロードの12％がランダム化されたポートからだった。Impervaは調査を行い、ソースポート情報をわかりにくくするために利用できるUPnP統合型の攻撃手法を見いだしたという。

　攻撃者はIoTなどの検索エンジン「Shodan」を利用して簡単にデバイスを検出できる。Impervaの調べによると130万台のデバイスが悪用される可能性も想定されるという。特に攻撃者がスクリプトを使って発見のプロセスを自動化した場合、その可能性があるという。

　攻撃を防御するためには、企業は「ソースポートだけではなく、パケットペイロードベースのDDoS保護を講じる必要がある」とZawoznik氏は述べる。

　だが、デバイスを今回やその他のUPnP悪用から保護する比較的簡単な方法もあるという。デバイスに対して遠隔からのアクセスを遮断することだ、とImpervaは記している。