多くのルーターに存在するバックドア、最悪の悪用シナリオとは：攻撃者は何でもできるようになる

米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか？

[Warwick Ashford，Computer Weekly]

　セキュリティ企業の米Rapid7は、DSLルーターのメーカーに対し、認証情報をハードコード（訳注）するという、昔からの脆弱（ぜいじゃく）性を排除するよう呼びかけている。

訳注：特定の動作環境を決め打ちして、その環境を前提とした処理やデータをソースコードに直接記述すること。

Computer Weekly日本語版　11月4日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　11月4日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　11月4日号：新DDoS攻撃「ローアンドスロー」の脅威

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　この呼びかけの前にも、米国国土安全保障省の支援を受ける米CERT（Computer Emergency Response Team）が2015年8月に発表した報告書「DSL routers contain hard-coded "XXXXairocon" credentials」の中で、この脆弱性の問題を取り上げている。

　CERTの報告によると、多数のメーカーのルーターは、依然として認証情報をハードコードしている。この認証情報を利用して、攻撃者がTelnetサービス経由でデバイスにアクセスし、リモートでデバイスを制御できるようになる恐れがあるという。

　「メーカーは、少なくともエンドユーザーがパスワードを変更できるよう最大限努力する必要がある。最初の起動時やファームウェアの復元時に、パスワードがランダム生成されるのが理想だ」と、Rapid7でセキュリティエンジニアリングマネジャーを務めるトッド・ビアズリー氏は話す。

　「機器のデフォルトパスワード使用をメーカーが止めるまで、家庭や中小企業で使用されているルーターに対する攻撃は続くだろう」

　ビアズリー氏によると、重要なのはこの問題を周知させることだという。資格情報のハードコードはソフトウェアバグではないものの、無数に存在するルーターを悪用できる割には目立たないためだ。

　この問題を顕著に表しているのは、スペインObserva Telecomのルーターの機密管理者アカウントパスワード「7449airocon」をインターネットで検索すると、400件近い検索結果が得られることだ。検索結果として現れるのは、ルーターのセキュリティ調査の合法的なブログから、犯罪活動を専門とするサイトまでさまざまだ。

　Observa Telecomのルーターはスペインでは一般的で、スペインの主要インターネットサービスプロバイダー（ISP）であるTelefonicaも使用している。だが、そのObserva Telecomのルーターには深刻な脆弱性が幾つもあるとCERTは指摘する。具体的には、永続的なものでなおかつ立証はされていないが、クロスサイトスクリプティング（XSS）やクロスサイトリクエストフォージェリ（CSRF）の脆弱性が同社の多くの機器に存在するという。

　CERTの指摘の影響を受けるルーターとして、台湾ASUSTeK Computer、米DIGICOM、フィリピンPhilippine Long Distance Telephone、中国ZTEが挙げられている。

　このようなバックドアには通常、インターネットからは直接アクセスできない。バックドアを利用してルーターを再構成するには、攻撃者がLANにいることが必須条件だからだ。だが、だからといって必ずしも安心はできないとビアズリー氏は言う。

続きはComputer Weekly日本語版　11月4日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　11月4日号：新DDoS攻撃「ローアンドスロー」の脅威

■Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版　10月21日号：今、リプレースが必要な理由

Computer Weekly日本語版　10月7日号：ネットワークスローダウンの処方箋

Computer Weekly日本語版　9月16日号：フラッシュストレージ セカンドシーズン