ウイルス対策関連

Kaspersky Lab、インターネット接続型ホームエンターテイメント機器に複数のぜい弱性を発見
2014.09.02

 

本リリースは、2014 年8月21日にKaspersky Labより発表されたプレスリリースの抄訳です

Kaspersky Lab のグローバル調査分析チーム(Global Research and Analysis Team:GReAT)(※1)のセキュリティアナリスト、デイビッド・ヤコビー(David Jacoby)は、サイバーセキュリティの観点から一般家庭の安全性を調べるため、自宅のリビングルームを使った研究実験を行いました。ネットワーク接続ストレージ(NAS)、スマートテレビ、ルーター、ブルーレイディスクプレイヤーなどのホームエンターテイメント機器を検証し、サイバー攻撃に対するぜい弱性の有無を確認した結果、次の調査対象の機器のぜい弱性が明らかになりました。

調査の対象は、メーカーが異なる NAS が 2 台、スマートテレビ、衛星放送受信機、ネットワークプリンター、ルーターが各 1 台です。ヤコビーはこの調査で、NAS で 14 件、スマートテレビ で 1 件のぜい弱性を発見しました。また、ルーターには、不正な遠隔操作を可能にしてしまう機能が複数ありました。

Kaspersky Lab は、調査の対象となった機器のメーカーにぜい弱性の存在を通知し、連携してそのぜい弱性の修正に取り組んでいます。弊社の情報開示方針により、ぜい弱性の修正パッチがリリースされるまで、そのメーカー名は公表しません。

 

リモートからのコード実行とぜい弱なパスワード:

最も深刻なぜい弱性は NAS に存在しており、その内のいくつかを悪用すると管理者権限を使ってシステムコマンドをリモートで実行できてしまいます。また、調査対象となった機器にはぜい弱なパスワードが設定され、多くの設定ファイルに不適切な権限が付与されていたほか、パスワードが平文で保存されていました。中には、既定の管理者パスワードが 1 文字という機器もありました。別の機器では、暗号化されたパスワードで保護された設定ファイル全体が、ネットワーク上の全利用者に共有されていました。

ヤコビーは NAS のぜい弱性の一つを利用して、一般の利用者にはアクセスできない NAS メモリ内領域へのファイルのアップロードにも成功しました。これが悪質なファイルだった場合は、NAS が感染源となって、ネットワークに接続している PC などほかのデバイスに感染が広がる恐れもあります。また、ボットネット内の DDoS ボットとして利用されることも考えられます。特殊な領域にファイルをアップロードするにはこのぜい弱性を利用することが必要なため、ファイルを削除するにも同じぜい弱性を利用するしかありません。当然ながら、この作業は技術に精通した専門家でも容易なことではなく、ホームエンターテイメント機器の一般利用者には極めて困難です。

 

スマートテレビを利用した中間者攻撃:

自宅のスマートテレビのセキュリティレベルを調べた際には、テレビとテレビメーカーのサーバーとの通信が暗号化されていないことを見つけました。この状態では中間者攻撃が可能となり、利用者がテレビを通じてコンテンツを購入する場合、支払代金が詐欺師のもとに送られる恐れがあります。ヤコビーはそれを実証するために、スマートテレビのグラフィックインターフェイスのアイコンを写真に置き換えました。通常、ウィジェットやサムネイルはテレビメーカーのサーバーからダウンロードされますが、通信が暗号化されていないために、その情報が第三者に改ざんされる可能性があります。また、このスマートテレビで実行できる Java コードを、テレビとインターネットのトラフィックを傍受する機能と併用すると、エクスプロイトを利用した悪意ある攻撃が可能になることも確認しました。

 

ルーターに潜むスパイ機能:

DSL ルーターは、自宅で利用するインターネット機器を無線で接続するために使いますが、危険な機能もいくつか見つかりました。ヤコビーによると、インターネットサービスプロバイダー(ISP)がそのような機能を利用すれば、プライベートネットワーク内のあらゆる機器にリモートアクセスできる可能性もあるといいます。さらに重要な調査結果として、ルーターの Web インターフェイスの「Web カメラ」、「テレフォニーエキスパート設定」、「アクセス制御」、「WAN 検知」、「更新」というメニューが「非表示」状態になっていて、機器の利用者が変更するためには、その Web インターフェイスのメニュー(基本的にはそれぞれに固有の英数字アドレスがあるWeb ページ)間を移動できるように、アドレスの最後の番号を総当たり攻撃で調べる必要があります。

本来このような機能は、機器の利用者の利便性を考慮して実装されたものです。ISP はリモートアクセス機能を利用することで、その機器の技術的な問題を短時間で容易に解決することができますが、犯罪者に機器を掌握されてしまうと、その利便性がリスクに変わることになります。

「個人も企業も、インターネット接続機器のセキュリティリスクを理解する必要があります。また、強力なパスワードを設定したからといって情報の安全が確保される保証はないこと、自分ではコントロールできないものが数多く存在することも意識しなければなりません。ある機器では、極めて深刻なぜい弱性を発見し、検証するまでに 20 分とかかりませんでした。今回と同様の実験を私の家のリビングルームではなく、もっと大きな規模で実施した場合、どのような結果になるでしょうか。これ以外にも、機器メーカーやセキュリティコミュニティ、機器の利用者が協力して早急に対処すべき問題が山積しています。さらに、機器のライフサイクルという問題もあります。一部のメーカーはライフサイクルが終了した機器のセキュリティ修正プログラムを開発していません。通常、このライフサイクルは 1 年か 2 年ですが、実際の製品寿命はもっと長く続きます。どちらにしても、あまり適切な方針とはいえません」とヤコビーは述べています。

 

インターネット接続機器があふれる環境で安全を確保するには

  • ハッカーが攻撃を容易に実行できないようにする: すべての機器に、最新のセキュリティとファームウェアを導入し、最新の状態に維持する必要があります。これにより、既知のぜい弱性が悪用されるリスクを最小限に抑えられます。
  • 既定のユーザー名とパスワードは必ず変更する: 攻撃者は機器に侵入するとき、まず既定のログイン情報で侵入できるかどうかを試します。
  • ほとんどの個人向けルーターとスイッチには、利用者独自のネットワークを機器ごとに設定するオプションがあり、機器へのアクセスを制限することができます。これには、数種類の DMZ(侵害されるリスクが大きいシステムを設置するための、隔離されたネットワークセグメント)と、 VLAN(同じ物理ネットワーク内の異なる論理ネットワークを論理的に分けるための仕組み)が使用されます。たとえばテレビの場合、ネットワーク内の特定の機器にだけアクセスを許可する必要があります。たとえば、プリンターをテレビに接続する必要はほとんどないでしょう。

今回の調査研究の全文は、Securelist.com でご覧いただけます。
『Internet of Things: How I Hacked My Home』(モノのインターネット:自宅をハッキング)

(※1) Global Research and Analysis Team(GReAT:グレート) GReAT はKaspersky Lab の R&D で研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

 

Kaspersky.co.jp ウイルスニュースより
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
© 1997 – 2014 Kaspersky Lab ZAO. All Rights Reserved.