FortiGuard Labs脅威テレメトリ:IoT脅威のまとめと2015年/2016年の比較(パート2、家庭用ルーター)

前回の記事では、2016年に発生したIoT脅威のまとめとして、2015年と2016年にIoTデバイスで発生したグローバル脅威テレメトリについて、FortiGuard Labsが収集したデータを比較しました。

今回は、家庭用ルーターに対するIPSシグネチャヒットが、2015年から2016年に急増した理由を検証します。

家庭用ルーター

2015年に発生したIPSシグネチャヒットを見ると、家庭用ルーターを対象にしたものが最も多く、発生件数はおよそ82万1,000件に達しています。ところが、2016年には驚異的な増加を見せ、250億件を超えてしまったのです。下の図は2015年と2016年の比較ですが、爆発的に増加したことがよくわかります(2016年がグラフのほぼ全体を占め、2015年は小さな点です)。

家庭用ルーターに対するIPSシグネチャヒット:2015年と2016年の比較
家庭用ルーターに対するIPSシグネチャヒット:2015年と2016年の比較

では、2015年から2016年への驚異的な増加の背景に何があるのかを考えてみましょう。下のグラフは、2015年と2016年に家庭用ルーターで発生したIPSトリガーを詳しく分析した結果です。

家庭用ルーターのIPSシグネチャヒット数トップ5 - 2015年
家庭用ルーターのIPSシグネチャヒット数トップ5 - 2015年

2015年、家庭用ルーターにおいてヒット数が最も多かったのは、ASUS.Router.infosvr.UDP.Broadcast.Command.Execution(http://fortiguard.com/encyclopedia/ips/41006)でした。この脆弱性を悪用することで、細工したUDPパケットを使ってルーターを乗っ取ることができます。注:この脆弱性については、修正パッチをベンダーから入手できるようです。以下で示すルーターのユーザーは、脆弱性対策としてパッチを適用することを強くお勧めします(http://fortiguard.com/encyclopedia/ips/41006をご覧ください)。

家庭用ルーターのIPSシグネチャヒット数トップ5 - 2016年
家庭用ルーターのIPSシグネチャヒット数トップ5 - 2016年

2016年、家庭用ルーターにおいてヒット数が最も多かったのはNetcore.Netis.Devices.Hardcoded.Password.Security.Bypass(http://fortiguard.com/encyclopedia/ips/42781)であり、検出された攻撃全体の99%以上を占めています。実際、2016年に家庭用ルーターで検出されたこれ以外の脆弱性をすべて合計しても、2桁の違いがあります。この攻撃は、ルーターのファームウェアにハードコードされている単一パスワードを悪用します。特殊な細工を施した要求をUDPポート53413に送信し、ルーターのバックドアを開きます。家庭用ルーターのシグネチャヒット数が2016年に爆発的に増加したのは、このたった1つの脆弱性が原因だったのです。今のところ、修正パッチは提供されていません。それが、この脆弱性を狙った攻撃が2016年に急増した理由であり、2017年もこの傾向が続くと予想されます。

では、Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass脆弱性を狙った攻撃の規模を、グローバル規模と国別に見てみましょう。

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(グローバル)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(グローバル)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(APAC)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(APAC)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(EMEA)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(EMEA)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(南北アメリカ)

Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass − トップ10 - 2016年(南北アメリカ)

2017年の予測

2017年1月のテレメトリから予測すると、Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass(http://fortiguard.com/encyclopedia/ips/42781)のシグネチャヒットは今後も多発すると考えられます。

家庭用ルーターのIPSシグネチャヒット数トップ5 - 2017年1月
家庭用ルーターのIPSシグネチャヒット数トップ5 - 2017年1月

先ほど説明したように、この脆弱性を修正するパッチはまだ提供されていません。2017年1月のテレメトリから考えると、このままパッチが提供されない場合、2017年も引き続き、家庭用ルーター最大の脆弱性になるでしょう。2017年は最初の2カ月が経過しただけであるにも関わらず、認証のバイパス(https://www.trustwave.com/Resources/SpiderLabs-Blog/CVE-2017-5521--Bypassing-Authentication-on-NETGEAR-Routers/)、コマンドインジェクション(https://blogs.securiteam.com/index.php/archives/2910)、パッチが提供されていないその他の脆弱性(https://pierrekim.github.io/blog/2017-02-02-update-dlink-dwr-932b-lte-routers-vulnerabilities.html)など、家庭用ルーターの脆弱性が新たに発見されています。

まとめ

家庭用ルーターは、誰もが入手可能なIPアドレスでインターネットにアクセスできる経路として最も利用されています。家庭用ルーターは常にオンの状態であることが多く、セキュリティアップデートが適用されることはほぼありません。もしも、セキュリティに対する意識が低いベンダーがルーターを製造し、最小限のセキュリティ機能しか搭載していないとすれば、その脆弱性が発見され、悪用されるのは時間の問題です。2016年のテレメトリでは、このような傾向が明確に示されています。家庭用ルーターのIPSヒットが急増し、そのほとんどを占めるのがNetcore.Netis.Devices.Hardcoded.Password.Security.Bypass脆弱性でした。ヒット数の急増は、脆弱性の修正パッチが提供されていないことが原因でした。このままルーターにパッチが適用されない状況が続けば、この攻撃は2017年も引き続き多発すると考えられています。

こちらから、毎週お届けするFortiGuard Labsのメールを購読いただき、最新の脅威情報をご確認ください。