So-net無料ブログ作成

家庭内のネット接続機器(IoT機器)をサイバー攻撃から守る「5か条」 [機器のセキュリティ]

インターネットに接続する機器は、パソコンやスマートフォンだけではない。無線LANルータやプリンタ、ハードディスク、カメラ、テレビ、レコーダー、メディアプレイヤーなど、さまざまな機器のネット対応が進むにつれ、これらの機器(IoT機器)を標的とした攻撃が顕著になっている。

IPA(情報処理推進機構)は11月25日、「安心相談窓口だより」を公開し、ネットワークカメラや家庭用ルータなどの利用前には、必ずパスワードを変更するよう呼びかけた。これは、本通信記事「DDoS攻撃に悪用されたネット接続機器~初期設定やアップデートに注意」(10月7日掲載、下欄参照)でお伝えした事例をはじめとする、ネット接続機器の乗っ取り多発を受けてのもの。安心相談窓口だよりの中で言及している「Mirai(ミライ)というマルウェアは、主にネットワークカメラで動いていたtelnetという不要なサービスに対し、機器の初期設定のアカウントで侵入を試み、侵入に成功すると遠隔操作用のマルウェアを送り込むという手口で感染を広げた。多数の感染機器を使って仕掛けたのが、上掲記事でお伝えした大規模なDDoS攻撃だ。

 こうした被害を防ぐために、ネットワークカメラや家庭用ルータなどを利用する際には、必ず初期設定のログイン情報を変更するよう、今回の安心相談窓口だよりは呼びかけている。ここでは、それを含む5つの重要なポイントを、「家庭内のネット接続機器を守る5か条」としてご紹介する。

【1】インターネットはルータを介して接続する

 無線LANの親機などには、ひとつのインターネット回線を使用して、複数の機器が同時にインターネットを利用できるようにする仕組みが組み込まれている。これをルータといい、家庭内の機器からインターネット上のサービスにアクセスできるが、インターネット側から家庭内の機器に直接アクセスすることはできないという特性がある。ルータを介してインターネットに接続していれば、外部からの不用意な侵入を防ぐことができる。
 Miraiに感染してしまったカメラの場合も、ルータを使用していれば侵入口となったtelnetがインターネット上から見えなくなり、侵入されることはなかった。

【2】初期設定のパスワードを強固なものに変更する

 ネットワーク機器は、勝手に使われたり設定を変更されたりすることがないよう、パスワードなどで保護できるようになっている。ところが、初期設定ではパスワードが「なし」だったり、「admin」や「root」などの決まった初期値が設定されていたりすることが多い。そのままでは、せっかくの保護機構が役に立たないので、機器を利用する際には、必ず強固なパスワードを設定して機器を保護する。
 Miraiの場合は、インターネット上でtelenetに接続できる機器をランダムに探し、見つけると特定のカメラの初期値をはじめとする60種類のアカウントでログインを試行するように作られていた。初期値を変更していれば、侵入されることはなかった。

【3】ファームウェアをアップデートし常に最新状態で使用する

 多くのネット接続機器は、ファームウェアと呼ばれる機器内部のソフトウェアを更新することによって、あとから機能を追加したり、問題を修正したりすることができるようになっている。メーカーのサポートサイトをチェックすると、最新のファームウェアが用意されていることがあり、時には想定外の方法で機器に侵入できたり、任意のコードを実行されてしまったりといった、致命的な問題の修正が含まれていることもある。使用している機器のサポートページは時々チェックし、アップデートを欠かさず行うようにする。

 Miraiの場合も、標的となった機器の一部は、ファームウェアのアップデートによって侵入口が塞がれたという。先月末には、新しいMiraiによるルータを標的とした攻撃が行われたが、アップデートによって問題が修正されたという。

 ファームウェアのアップデートは、ユーザーが各社のサポートサイトから更新用のファイルをダウンロードして適用する方法や、機器に直接ダウンロードして適用する方法が一般的だったが、最近はWindows Updateなどと同じように機器が定期的に更新チェックを行い、自動的に適用する機能をサポートした製品も増えている。詳しくは、各製品のサポートページやマニュアルを参照していただきたい。

【4】リモートアクセス機能は可能なかぎり無効にする

 外出先からファイルにアクセスできるハードディスク、ライブ映像を監視できるカメラ、録音した音楽や録画した番組を再生できるメディアプレイヤーやビデオレコーダ、リモートメンテナンス機能を持つルータなど、ネット接続機器の中には、外部からインターネット経由で利用できるリモートアクセス機能を持つものがある。
 外部から接続できるように設定された機器は、常時インターネットにさらされ、不特定多数からの接続を無条件で許してしまうことになる。認証を破られれば第三者に利用され、機器に脆弱性が見つかれば攻撃にさらされてしまうかもしれない。リモートアクセス機能は可能な限り利用せず無効にし、必要な場合には代替サービスや、より安全な接続方法を提供する機器を検討することをお勧めする。

 Miraiの場合、カメラへの侵入口となったtelenetは、本来の動作には不要なサービスだったが無効にはできなかったようだ。本通信記事「無線LANルータ、ネットワークカメラ、Wi-Fiストレージに脆弱性」(11月14日掲載、下欄参照)で紹介したアイ・オー・データ機器のWi-Fiストレージの脆弱性にも、telnetから侵入できる問題が含まれていた。無効にできない場合は、アップデートに期待するしかないが、管理画面から無効化できる場合には、不要なものを全て無効にしておくことをお勧めする。機能が無効化されていれば、侵入されるリスクはなくなり、機能に問題が生じても実害は発生しない。

【5】ルータの「UpnP機能」は可能なかぎり無効にする

 ネット接続機器の中には、機器どうしが直接通信し、必要な設定などを自動的に行う、UPnP(Universal Plug and Play )に対応した製品がある。家庭向けのルータの多くが、このUPnPによる自動設定をサポートしており、たいていは初期設定で有効になっている。
 ルータのUPnPが有効になっていると、家庭内の対応機器やアプリなどが外部からの接続を受け入れられるように、ルータの設定を変えてしまうことがある。ルータの管理画面から操作するのと違い、認証無しで設定を変更できてしまうので注意が必要だ。ルータの内側で保護されているつもりが、インターネットから丸見えだったということがないよう、UPnPは可能な限り無効化しておくことをお勧めする。
 ちなみにマルウェアの中にも、外部から侵入できるようにするために、このUPnPを使うものがあるので、感染時の被害が多少緩和されるかもしれない。

(2016/12/06 セキュリティ通信)

【関連URL】
・安心相談窓口:ネットワークカメラや家庭用ルータ等のIoT機器は利用前に必ずパスワードの変更を(IPA)
http://www.ipa.go.jp/security/anshin/mgdayori20161125.html
・Mirai: IoT ボットネットによる攻撃の新しい波、ドイツのユーザーを直撃(シマンテック)
https://www.symantec.com/connect/ja/blogs/mirai-iot
・新しい「Mirai」、ルータを狙うポート7547への攻撃が示す今後の脅威(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/14108

【関連記事:セキュリティ通信】
・ネット接続機器が招く危険――欠かせないパスワード保護と脆弱性解消(2016/04/07)
http://security-t.blog.so-net.ne.jp/2016-04-01
・DDoS攻撃に悪用されたネット接続機器~初期設定やアップデートに注意(2016/10/07)
http://security-t.blog.so-net.ne.jp/2016-10-07
・無線LANルータ、ネットワークカメラ、Wi-Fiストレージに脆弱性(2016/11/14)
http://security-t.blog.so-net.ne.jp/2016-11-14