CPEデバイスのセキュリティ

Size: px

Start display at page:

Download "CPEデバイスのセキュリティ"

やすもりいいはた
4 years ago
Views:

1 1 沖縄 ICT フォーラム 2013 in 宮古島サイバーセキュリティ最前線 : 宅内危機! CPE デバイスのセキュリティ 2013/06/28 株式会社インターネットイニシアティブサービスオペレーション本部セキュリティ情報統括室 (TelecomISAC Japan 運営委員 ) 齋藤衛

2 宅内機器の脆弱性脆弱性の例とリスク CPEデバイスマルウェアによる設定変更事件管理インタフェースにかかわる脆弱性 Universal Plug and Play DNSにかかわる設定ミス (DNS Open Resolver) この問題の解決に向けて 2

3 宅内機器の脆弱性脆弱性の例とリスクインターネットプリンタ韓国製台湾製などのプリンタに認証迂回可能な脆弱性が発見され自在に印刷されてしまう可能性が (2012/12) Google に約 80,000 万台の米国製プリンタの Web 管理インタフェースがキャッシュされている (2013/01) インターネット監視カメラ韓国製インターネット TV の脆弱性でインターネット側からカメラ機能を有効に (2012/11) インターネット録画システム中国製 DVR 録画システムでインターネット側から無認証で操作可能であることが発見される世界中で 58,000 台 (2013/01) UPnP の脆弱性 (libupnp)( 後述 ) それぞれ脆弱性によりこれらの機器の機能が第三者に悪用された時にはプライバシーの侵害など個人生活の範囲の影響が考えられる 3

4 宅内機器の脆弱性 CPE デバイス CPE:Customer Premises Equipment( 顧客宅内機器 ) ホームルータインターネットに接続するための機能 (PoE 終端 NAT など ) 宅内ネットワークを構築するための機能 ( 有線無線 LAN DHCP DNS resolver など ) インターネットと宅内ネットワークのセキュリティ境界 (FW など ) サーバアプリケーション (NAS プリントサーバなど ) その他機能 ( 暗号関連疑似 DMZ など ) 管理インタフェース (Web UI) ホームルータの設定権限を外部の第三者に奪われた時どのようなリスクが考えられるか 4

5 宅内機器の脆弱性マルウェアによる設定変更事件管理インタフェースにかかわる脆弱性 Universal Plug and Play DNSにかかわる設定ミス (DNS Open Resolver) この問題の解決に向けて 5

6 6 マルウェアによる設定変更事件 DNS Changer IIJ Internet Infrastructure Review (IIR) Vol.15 より

7 マルウェアによる設定変更事件 DNS Changer(2) 偽 DNS のエントリ 1 万 4 千検索エンジン Google, Yahoo!,Bing, Ask.com 広告事業 Google Ads, Overture,Doubleclick ソフトウェア更新サーバマイクロソフトアドビセキュリティ対策ソフトアダルトサイト出会い系サイトドメイン事業者 ( 使用されていないドメインのハイジャック ) wikileaks.org などのアクセス数の多いサイトマルウェア TDSS などのサーバ利用者の被害検索結果からの不正サイトへの誘導検索結果の HTML の改ざんなどではなく DNS クエリにより検索結果をクリックしたことを検知し DNS のレスポンスを改ざんした FAKEAV のライセンス料広告産業への被害有名サイトの広告の置き換えその他犯人グループが用意した広告へのアフィリエイト課金トレンドマイクロ Rove Digital の壊滅より 7

8 マルウェアによる設定変更事件 DNS Changer(3) MBR に感染し駆除後も再起動により再び設定変更をするホームルータの DNS の設定変更を試みる (IIJ では実際の被害は未確認 ) UTSTARCOM,routers from BNSL(India),D-Link,Linksys,OpenWRT/DD-WRT,A-Link,Netgear,ASUS ZVMODELVZ Web Manager, SMC など (ISC の Merike Kaeo による Nanog54 Security BoF の発表資料より ) スケアウェア (FAKEAV) のインストール FAKEAV(Protection Center) の様子 FAKEAV(AntiMalware) の様子 FAKEAV(MacGuard) の様子 FAKEAV(WindowsAntiSpyware) の様子 FAKEAV(SpySheriff) の様子 8

9 マルウェアによる設定変更事件その他のマルウェアによるホームルータ設定変更事件 2012 年メキシコウイルスがルータの設定を変更し銀行 banamex.com へのアクセスを偽装サーバに Targeted Attack in Mexico: DNS Poisoning via Modems 9

10 宅内機器の脆弱性マルウェアによる設定変更事件管理インタフェースにかかわる脆弱性事例対策と被害の状況 Universal Plug and Play DNSにかかわる設定ミス (DNS Open Resolver) この問題の解決に向けて 10

Cases Affecting Brazil http://www.cert.br/docs/palestras/certbr-firstsymposium2012.

11 管理インタフェースにかかわる脆弱性国外の事例 2011 年ブラジルやヨーロッパホームルータや ADLSModem の脆弱性を悪用しインターネット側から直接管理者権限で参照用 DNS サーバの設定を変更 2011 年最大 450 万台 2012 年 1 月時点で 30 万台の設定が変更されていた銀行や SNS の ID 盗用や不正プラグインのインストール Phishing and Banking Trojan Cases Affecting Brazil The tale of one thousand and one DSL modems e_thousand_and_one_dsl_modems 11

12 管理インタフェースにかかわる脆弱性国内の事例日本国内で販売されているホームルータの脆弱性デフォルト設定の問題管理パスワードマニュアル記載デフォルト設定でインターネット側から UI へのアクセス制御なしマニュアルには危ないので変更しろ制限しろとは書いてある PoE 接続用 ID パスワードの平文保存 12

13 管理インタフェースにかかわる脆弱性対策と被害の状況対策状況修正ファームウェアは 2012 年 9 月にリリースされ機器メーカとしての対策は終了との認識業界団体各 ISP からの注意喚起は (2013/06 時点 ) 年末年始にイベントが被害状況かもしれない勝手にさせられされるかもしれないかもしれない不正ログインについてプレスリリースを打ってインターネットウォッチとかに記事として載ってしまうかもしれない 13

管理インタフェースにかかわる脆弱性対策と被害の状況 Internet Census 2012 (http://internetcensus2012.bitbucket.org/paper.

14 管理インタフェースにかかわる脆弱性対策と被害の状況 Internet Census 2012 ( 2013/03 公開された匿名の論文インターネットの現状を調査 42 万台のセキュリティ上の問題 ( 管理認証が admin/admin など ) の装置を勝手に使ってインターネット全体を調査 IP アドレスの存在確認やポートスキャンなど実際に利用可能だったのは 2000 万台だったとしている匿名の 1 名による行為 14

15 宅内機器の脆弱性マルウェアによる設定変更事件管理インタフェースにかかわる脆弱性 Universal Plug and Play 問題の概要 DNSにかかわる設定ミス (DNS Open Resolver) この問題の解決に向けて 15

16 Universal Plug and Play 問題の概要 libupnp(universal Plug and Play) 2013/01 ライブラリに複数の脆弱性が見つかり修正 CVE CVE CVE CVE CVE CVE CVE CVE 家庭用のブロードバンドルータや Web カメラ IP 電話機器など多数の機器で利用されているため各社から注意喚起が実施された Rapid7 Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP ( JPCERT/CC Portable SDK for UPnP の脆弱性に関する注意喚起 ( Rapid7 のレポートでは対象は全世界で 2300 万以上とされる UDP パケットひとつで外部から操作される可能性がある 16

Universal Plug and Play 問題の概要 Universal Plug and Play そもそも UPnP は家庭内など限定的な範囲でリソースを共有する目的の実装でありインターネット側から利用できるだけで危険と考えるべき UPnP プロトコルにはほかにも複数の問題が存在する UPnP 対応 CPE デバイスにインターネット側からアクセス可能な場合 port

17 Universal Plug and Play 問題の概要 Universal Plug and Play そもそも UPnP は家庭内など限定的な範囲でリソースを共有する目的の実装でありインターネット側から利用できるだけで危険と考えるべき UPnP プロトコルにはほかにも複数の問題が存在する UPnP 対応 CPE デバイスにインターネット側からアクセス可能な場合 port ネゴシエーションを悪用して内部ネットワークの任意の IP アドレスにポートスキャンが可能となる世界で 4000 万 ~5000 万のネットワーク対応機器がインターネット側からアクセス可能であるとの指摘もある SHODAN によると日本国内でインターネット側から SSDP に応答する IP アドレスは 270 万以上 ( 世界中では 28,612,883) 脆弱性保有台数に関する定量的データはないによる 1900/udp の検索結果 17

18 宅内機器の脆弱性マルウェアによる設定変更事件管理インタフェースにかかわる脆弱性 Libupnpの脆弱性 DNSにかかわる設定ミス (DNS Open Resolver) 問題の概要事例対策と被害の状況この問題の解決に向けて 18

19 DNS にかかわる設定ミス (DNS Open Resolver) 問題の概要概要 IBM/ISS Tokyo SOC Report より https://www-304.ibm.

19 19 DNS にかかわる設定ミス (DNS Open Resolver) 問題の概要概要 IBM/ISS Tokyo SOC Report より多くの RR を持つ ripe.net などへの query が攻撃に利用される故意に多くの RR を登録した攻撃用のドメインも存在している (.net など ) 原因ホームルータで家庭内に提供する機能をデフォルト設定などで適切に制限していない

DNS にかかわる設定ミス (DNS Open Resolver) 事例 :Spamhaus に対する攻撃で 300Gbps 迷惑メール対策団体 Spamhaus に対する攻撃攻撃者不明 ( 特定の迷惑メール送信業者によるものという憶測 ) 3 月中旬から 2 週間程度継続当初 Spamhaus の持つシステムに対して 60Gbps~120Gbps 程度の攻撃当該環境が固い

20 DNS にかかわる設定ミス (DNS Open Resolver) 事例 :Spamhaus に対する攻撃で 300Gbps 迷惑メール対策団体 Spamhaus に対する攻撃攻撃者不明 ( 特定の迷惑メール送信業者によるものという憶測 ) 3 月中旬から 2 週間程度継続当初 Spamhaus の持つシステムに対して 60Gbps~120Gbps 程度の攻撃当該環境が固いことがわかったので攻撃者はヨーロッパのインターネットエクスチェンジ (IX) に矛先を変更ホームルータの設定で DNS の open resolver( インターネット側から利用できてしまう設定の緩い機器 ) となっている機器を踏み台にして 300Gbps の通信の集中を作り出す 20

21 21 2 DNS にかかわる設定ミス (DNS Open Resolver) 事例 DNS の open resolver を悪用した DDoS 攻撃 IIR Vol.19 より :IIJ で観測した OpenResolver 悪用の様子 (2013:Q1) Spamhaus への攻撃は 3 月 18 日から 22 日ごろにかけて行われたと報告されているがその期間攻撃に合致するような通信は IIJ では検出されず 3 月 15 日から 18 日にかけてカナダの IP アドレスからの通信が急増この通信はカナダの特定の事業者の 2 つの IP アドレスからに見えるもので到着した通信の内容からこの 2 つの IP アドレスを狙った DNS アンプ攻撃の試みであることが判明

DNS にかかわる設定ミス (DNS Open Resolver) 対策と被害の状況 CloudFlare による apricot2013 の発表では日本もそれなりに攻撃に加担していたとされている同様な手法による DDoS 攻撃の継続 (Prolexic 167Gbps など ) Openresolvers.

22 DNS にかかわる設定ミス (DNS Open Resolver) 対策と被害の状況 CloudFlare による apricot2013 の発表では日本もそれなりに攻撃に加担していたとされている同様な手法による DDoS 攻撃の継続 (Prolexic 167Gbps など ) Openresolvers.org などによる継続的な調査と警告 ( ただし調査の精度に難あり referral など Open Resolver 以外にも増幅要因がある ) urpf(bcp38) の推奨 ( ただし strict mode じゃないと意味がない!) IIJ の観測では攻撃者は攻撃前に DNS Open Resolver に関する調査を実施していないだたやみくもに DNS query を投げつけることで DDoS 攻撃に成功している様子がうかがえる data/assets/pdf_file/0009/58878/tompaseka_ pdf 22

23 宅内機器の脆弱性マルウェアによる設定変更事件管理インタフェースにかかわる脆弱性 Libupnpの脆弱性 DNSにかかわる設定ミス (DNS Open Resolver) この問題の解決に向けて精度の高い実態調査対策の検討 23

24 この問題の解決に向けて精度の高い実態調査 TelecomISAC Japan ネットワークデバイスの脆弱性保有状況調査インターネット側から管理インタフェースへの接続インターネット側 UPnP/SSDP の受け入れ DNS Amp/OpenResolver の 3 つについて調査を実施中調査の結果全容を把握しあとに対策の検討を開始するインターネットユーザ8 千万人 1 世帯当たりの人数 2.13 人インターネット接続世帯 3755 万世帯粗々で約台がどれかの問題に該当 24

25 家庭のインターネット環境の脆弱性対策に向けてなぜ CPE デバイスは脆弱なまま放置されるのか家庭をインターネットに接続するための装置でありいったん動き出すと利用者はそれ以上その設定が健全かどうかの確認をしない利用者から専用機器に見えておりソフトウェア / ファームウェアをアップデートするところに思い至らない利用者は一度設定した機器の状態を確認するような運用を行っていない PC などと違い自動アップデートなどの仕組みが整備されておらず対策がリリースされても気づきにくい利用者は新しいファームウェアの存在を知ったとしても通信を中断するリスク設定をし直すリスクから適用しにくい CPE デバイスの動作ログが未熟であり第三者に悪用されたことを記録 ( その記録をもとにした検知警告 ) が実施しにくい一般に人は他者のリスクを自分の問題として把握しにくい多少攻撃に悪用されていたとしてもインターネットが利用できていればそれでよいこの環境に新しい装置がどんどんどんどん追加されていっている ( 状況を放置すれば悪化するのみ ) 25

26 家庭のインターネット環境の脆弱性対策に向けて (2) 何が必要なのか ( みんなでやれば何とかなる前提では ) 利用者として家庭内ネットワークに接続する装置の把握それぞれのファームウェアバージョンの把握設定の健全性の確認日常的な動作ログの確認これらを補助するツール製品開発者として安全な製品を作ることを目指す問題と修正ファームウェアの認知手法の向上自動アップデートなど利用者の手間の軽減手法の確立サービスプロバイダとして利用者に紹介した製品について開発者と協力して対処する外部からの健全性の確認 CPE デバイスマネージドサービス / Walled Garden の推進 26

27 家庭のインターネット環境の脆弱性対策に向けて (3) 何が必要なのか ( どうにもならない前提では ) 第 4 の通信上の規制も視野に入る IP80B たぶんありえない IP1900B URL フィルタ的対策たぶん容易 IP53B/OP53B たぶん頑張れば可能 (white list など ) 27

28 CPE デバイスのセキュリティまとめ宅内機器の脆弱性マルウェアによる設定変更事件管理インタフェースにかかわる脆弱性 Universal Plug and Play DNSにかかわる設定ミス (DNS Open Resolver) この問題の解決に向けて 28

29 ご清聴ありがとうございましたお問い合わせ先 IIJ インフォメーションセンター TEL:03-5205-4466

29 29 ご清聴ありがとうございましたお問い合わせ先 IIJ インフォメーションセンター TEL: (9:30~17:30 土 / 日 / 祝日除く ) info@iij.ad.jp

IIJ Technical WEEK セキュリティ動向 2012

IIJ Technical WEEK セキュリティ動向 2012 IIJ Technical WEEK 2012 2012 12 11 16 1 Agenda 2012 2 2012 2012 Anonymous 3 2012 Anonymous #OpJapan Anonymous Timeline 2012/06/25 AnonOps "Operation Japan (#opjapan)" 2012/06/26 HomePage DDoS 2012/06/27