ネットワーク接続ストレージ(NAS)、ビデオ監視機器、またはリモートルーター管理ソフトウェアをご利用の場合は、不正なファームウェアにご注意ください。ASUSとLinksysのルーターで最近発生した大惨事からも明らかなように、これらの機器はハッカーの攻撃の温床となっています。メッセージは明確です。2014年、脆弱なルーター、NASボックス、その他の接続デバイスによって、家庭のネットワークが攻撃に対して無防備な状態になっているのです。
最悪のシナリオとは?世界中のどこからでも、あなたのハードウェアに触れることなく、見知らぬ人があなたのファイルにアクセスしたり、ネットワークにマルウェアを侵入させたり、あなたのセキュリティカメラを使ってあなたを監視したりできるということです。
一部の旧型のLinksys Eシリーズルーター、Wireless-Nルーター、およびアクセスポイントは、「TheMoon」と呼ばれるマルウェア感染の脆弱性を抱えています。このマルウェアは自己複製ワームを残します。Ars Technicaは火曜日、Asusルーターに接続されたUSBストレージデバイスに、一見悪意はないものの明らかに招かれざる客によって残された不穏な文字を発見したという話を報じました。この文字は、ネットワークの安全性の低さを痛烈に警告するものです。PCWorld Norwayは、約2週間前にこの脆弱性について警告を発していました。
姉妹サイトの編集者であるClas Mehus氏は、 Shodan検索エンジンを使用して、ファームウェアのバグやユーザーインターフェースの設計不良が原因で、ルーター、NASボックス、セキュリティカメラ、その他のネットワークデバイスが驚くほど多く無防備状態になっていることを発見しました。私もMehus氏の調査結果を再現し、これらの脆弱性はAsusとLinksysのハードウェアに限ったものではないことを報告します。
あなたのプライバシーも危険にさらされています。このパン屋のビデオ監視システム(DVRアーカイブを含む)は、完全に安全ではないことが判明しました。
USB ストレージ ドライブが接続された Asus ルーターを実行している場合は、Asus の Web サイトから最新のファームウェアをダウンロードしてインストールします (ルーターの Web インターフェイスを使用して新しいバージョンを確認するだけでは、最新バージョンがダウンロードされない可能性があります)。
Linksysの広報担当者であるカレン・ソール氏は、この問題を認識していると述べました。「(これらのデバイスで)リモート管理アクセス機能を有効にしていないお客様は、この特定のマルウェアの影響を受けません」とソール氏はメールで述べています。「リモート管理アクセス機能を有効にしているお客様は、リモート管理アクセス機能を無効にし、ルーターを再起動してインストールされたマルウェアを削除することで、ネットワークのさらなる脆弱性を防ぐことができます。Linksysは、影響を受ける製品にファームウェア修正プログラムを提供し、今後数週間以内に当社のウェブサイトに掲載する予定です。」
セキュリティの脆弱性に関しては、ASUSとLinksysだけが問題を抱えているわけではありません。NetgearのReadyNAS製品ラインも、ほんの数ヶ月前に同様の問題を抱えました。業界のパスワード設定の脆弱性により、意図せずインターネットに公開されるIPデバイスが今後も存在し続けることはほぼ確実です。
どのように起こるのか
もしかしたら、ご存じない方もいるかもしれません。インターネットアドレスは、住所と同じくらい明確に定義されています。ご自身のパブリックIPアドレスを確認するには、whatismyip.comにアクセスしてください。アドレスは太字で表示され、例えば「101.75.75.101」のように表示されます。ほとんどの場合、このパブリックIPアドレスはルーターに直接接続されており、ルーターはその名の通り、ネットワークに接続されたパソコン、タブレット、スマートフォン、ウェブカメラ、そして外部とのすべてのデータトラフィックをルーティングします。
誰かがあなたのルーターを乗っ取ってしまったら、大変なことになります。彼らはあらゆる種類のトラフィックを好きな場所にリダイレクトできます。彼らが引き起こす大混乱は、あなたの機器を通して中継される情報によって、他の多くの人々の日々を台無しにする可能性があります。
人気テレビ番組の海賊版録画がインターネットに公開されている FTP サーバーを発見しました (ユーザーの IP アドレスを省略するため、画像をトリミングしています)。
ルーターに複雑なパスワードを設定し、ログインを阻止することは、有効な第一歩に過ぎません。ルーターの設定ファームウェアと、ルーター上で実行されるサービスも保護する必要があります。ルーターは、数千もの番号付きポートを介して、さまざまな種類のトラフィックを送受信します。
ルーターをアパートの建物、そしてそのポートを各部屋のドアと想像してみてください。ポート80はHTTPトラフィック(Webへのアクセス方法)に使用されます。ポート21はFTP(ファイル転送プロトコル)を使用したファイルの送受信に使用されます。ポート443はHTTPS(銀行取引やショッピング取引などの暗号化されたWebトラフィック)に使用され、ポート3369はリモートデスクトップに使用されます。
ポートが開いている場合(通常はすべて開いています)、ルーターはポートが割り当てられたIPデバイス間でデータをやり取りするだけです。そのため、Webと通信するすべてのデバイスは、これらのポート経由で他人がアクセスできないように、パスワードで保護する必要があります。
デフォルトのジレンマ
ほとんどのルーターやNASデバイスには、よく文書化されたデフォルトのログインIDとパスワード(例えば「admin」と「password」)が付属しています。これらのデバイスには通常、インストールウィザードが備わっており、デバイスをインターネットに接続する前に、ユーザーにパスワードの変更を促します。しかし、何らかの理由でこの手順が省略され、パスワードが変更されないことがあります。また、パスワードは更新されたものの、その後ユーザーが何らかの理由でハードリセットを実行することもあります。このよくあるトラブルシューティング手順によって、ユーザーが知らないうちに、古くて脆弱なパスワードが復元されてしまうことがよくあります。
古いファームウェアでUPnPを有効にすると(設定が簡素化されるため、ほとんどのルーターメーカーが推奨しています)、ルーター上で稼働しているFTPサーバーやSMBサーバーへの接続が公開され、インターネットのスヌープが接続されたストレージデバイス上のすべてのファイルにアクセスできるようになる可能性があります。匿名グループが最近、脆弱なASUSルーターに割り当てられた数百のIPアドレスのリストを公開しました。
業界が目覚めるのを待つ余裕はありません。今すぐ行動を起こし、ルーター、NASデバイス、IPカメラ、そしてインターネットに公開されているネットワーク上のすべてのデバイスをロックダウンしましょう。そうしないと、帯域幅、プライベートな写真、文書、動画を盗まれたり、カメラの焦点が合ったものを見られたりしてしまいます。
一部の Netgear ルーターの ReadyShare ファームウェアでは、接続された USB ストレージ デバイスに対するパスワード保護がデフォルトで設定されていないため、ユーザーにこれを変更するように求めるメッセージは表示されません。
どのポートが開いているか知りたいですか? www.whatismyip.com にアクセスしてください。メインページにIPアドレスが表示され、左側にポートスキャナーのオプションがあります。それを選択してポートテストを実行してください。残念ながら、AT&Tから提供されたMotorola NVG510など、一部のインターネットゲートウェイではローカルでこの操作ができません。パブリックIPアドレスをメモしておき、カフェや友人宅などから試してみる必要があります。
あなたの行動計画
すぐに確認できることの一つは、ルーターまたはNASボックスのFTPサービスが有効になっているかどうか、そして匿名アクセスが許可されているかどうかです。匿名アクセスにはパスワードが不要なので、ファイルを世界中に共有する場合を除き、有効にする必要はありません。FTPはルーターのHTML設定ページにあります。ブラウザから192.168.1.1や192.168.1.254などのアドレスでアクセスできます。ルーターのデフォルトアドレスは、ユーザーマニュアルに記載されています。
このWikipediaのエントリには利用可能なすべてのポートがリストされていますが、重要なのは、ファイルへのリモートアクセスやネットワークデバイスのリモート制御を可能にするポートです。これにはHTTP、FTP、RDPが含まれます。
パスワード保護されているかどうかを確認するのは簡単です。ブラウザを開き、パブリックIPアドレスの前にFTP://、HTTP://などの適切なヘッダーを付けて入力するだけです。接続すると、パスワードの入力を求められます。ルーター、NAS、IPカメラのホームページにすぐにアクセスできてしまう場合は、保護されていません。インターネットに接続できる人なら誰でも、あなたと同じように簡単にそれらのリソースにアクセスできてしまうのです。
セキュリティを最大限に高めるには、ルーターまたはルーター/モデムをピンホールモードに設定してください。ピンホールモードでは、すべてのポートがデフォルトでブロックされ、必要なサービスのみが開かれます。少し手間はかかりますが、非常に安全です。
幸いなことに、自分自身を守るのは比較的簡単です。冷蔵庫であっても、外部に接続するすべてのデバイスにパスワードを設定するだけで済みます。古いハードウェアを使用している場合は、デバイスがリセットされ、デフォルトのパスワードが復元されていないことを定期的に確認してください。メーカーのウェブサイトを定期的にチェックし、常に最新のファームウェアを使用していることを確認してください(デバイスのユーザーインターフェースに頼ってファームウェアのアップデートを確認しないでください。これらのツールは必ずしも正常に機能するとは限りません)。
