- 会員限定
- 2023/04/25 掲載
警視庁が注意喚起も「素人には難しい」? 家庭用ルータやスマート家電が危ないワケ
警視庁が異例の通達、その背景
家庭用ルータやNASの脆弱性が不正アクセス・情報漏えいを引き起こす──それ自体は今に始まったことではない。設定の甘いルータ、Webカメラ、NAS、複合機、プリンタが汚染され、ボット化され、DDoS攻撃の踏み台とされる事例も数多く起きている。このような場合、一般家庭や個人ユーザーには比較的作業ハードルの低いソフトウェア・ファームウェアアップデートを周知・徹底させる対策がとられていた。ところが今回、警視庁が「ルータの管理者パスワードをチェックせよ」「VPN設定などルータに不審な点はないかを確認せよ」という注意喚起を行った。
ある意味異例の通達といえるが、それだけ家庭用ルータの汚染とそれによる被害が深刻だということだ。
モデムでインターネットにつないでいた時代ならいざ知らず、ルータの管理者画面を開いて「身に覚えのないVPN設定はないか確認せよ」という指示は、多くの人にとって何のことかわからず(「不審な」と言われても、普段設定を確認していない人間に判断は難しい)注意喚起の意味をなさない。それでも周知しないよりはするべきという判断をしたのだと思われる。
とすると、家庭用ルータに何かが起こっているのかという疑問が浮上する。分析としては、警視庁がサイバー局を新設し広域サイバー犯罪に対応を始めた成果・活動アピールという見方も可能だ。
一方で、さまざまなサイバー犯罪の発信元・踏み台に家庭用ルータやIoT機器が狙われることが増えている可能性を指摘する声もある。それが警視庁の広域捜査によっても改めて確認され、注意喚起につながった。その中で特に関係しそうなことの1つとして考えられるのは、とある「ランサムウェア」の拡大だ。
VPNの脆弱性を利用するランサムウェア
ランサムウェアにはさまざまなタイプが存在するが、本件と関係が深そうなのは「Sodinokibi/REvil」と呼ばれるものがおそらく筆頭候補になるだろう。REvilはロシアの攻撃グループの名前だが、ランサムウェアの名前としても認知されている。REvilは、非常に効果を上げた「Ransomware as a Service」(RaaS:サービスとしてのランサムウェア)だ。欧米では多くの病院、金融機関、インフラ事業者などが被害にあい、大きな社会問題ともなった。
そのため、FBIを始め、インターポール、ユーロポール、各国の警察機関が連携し、2022年初頭に国際的な合同捜査が実施された。結局、REvilサービスプラットフォームは解体されたが、各国で摘発されたのはRaaSの利用者(アフィリエイター)であり、プラットフォームを構築した張本人はいまだ逮捕されていない。2022年秋には構造や攻撃手法が似ているマルウェアが確認された。オリジナルのREvilメンバーによるものかどうかは不明だが、「REvilは復活した」とされる。
REvil攻撃の入り口はフィッシングメールだが、攻撃サイトに誘導、またはアカウント情報を入手してからのプロセスは複雑かつ多岐にわたる。さまざまな脆弱性を利用、標的サーバにたどり着き、暗号化・暴露のための外部送信(REvilは暗号化と暴露の二重脅迫型)、証拠隠滅なども行う。サーバへの侵入や外部通信にVPN接続の脆弱性(CVE-2019-11510)が利用されていることもわかっている。
知り合いにセキュリティベンダーに努めている友人などがいたら、聞いてみてほしいのだが、近年ランサムウェアの被害を受ける企業が高止まりしており、ベンダーは顧客からの調査・対応依頼のすべてに対応できていない現状がある。警察への届け出、相談も増えている。攻撃元をたどる中で、汚染された家庭用ルータやWi-Fiスポットが含まれていても何ら不思議はない。
テレビや家電はすでにコンピューター+ネットワーク機器
これまでIoT機器への攻撃は、NASやWebカメラなどが、DDoS攻撃のボットネットに利用されることが多かった。この傾向はいまでも変わっていない。だが、IoT機器の高度化、多様化は新たな脅威にもなることを忘れてはならない。NASやWebカメラ、複合機などは特定機能に特化したものといえる。内部にコンピューターやサーバ機能を持っていたとしても、OSやインストールされているサービス、コンポーネントは限定的だ。使えるリソースが限られているからだ。
だが、多くのルータ製品、ブロードバンドルータは、汎用サーバに近いリソースを持っている。純粋にレイヤ3のルーティング機能に特化した製品はいまや少数派といえる。ステートフルインスペクションやHTTPSの解析など、レイヤ3以上のプロトコルを処理するのが当たり前だ。
スマート家電も同様な傾向にある。アプリ連携、スマホ連携など、持っているリソースや機能が高度化・複雑化している。インストールされている機能が増え、攻撃に幅を持たせられるなら、ハッカーたちの認識やスマート家電の利用の仕方が変わってくる可能性がある。
たとえば、「USENIX SECURITY SYMPOSIUM」で発表された中国上海大学の研究グループの論文がある。現実の攻撃や被害が問題になったものではないが、スマートTVの赤外線リモコンを利用したハッキング方法が示されている。
攻撃原理は、家庭にある赤外線リモコン機能を持った製品のうち、インターネット接続しているものをハッキングして、スマートTVのリモコン操作の情報からアカウント情報などを盗み出すというものだ。スマートTVは地上波放送の番組以外に、動画配信サービスの視聴アプリ、ネット通販やネットゲームのアプリ、ブラウザなども持っており、リモコンからログインや決済を行ったりする。
到達範囲が狭く短い赤外線リモコンは、Wi-Fi電波よりも盗聴(傍受)は難しいとされる。またリモコン自体はネット接続しないので、攻撃者はハッキング用のハードウェアを標的のリビングなりに設置する必要もある。
だが、ネット接続されたエアコン、DVDプレーヤー、スマートスピーカー、家電などをハッキングできれば、それらの赤外線リモコンの受光部を使ってスマートTVのリモコン操作を読み取ることができる。
論文では、テレビとリモコンの位置、ハッキングする家電(実験ではRaspberry Piで自作したハッキングハードウェアを利用)の位置や距離について細かく分析し、リモコン操作の解読は十分可能だとしている。 【次ページ】ダークネットで観測されるパケットの「上位3つ」とは?
関連コンテンツ
PR
PR
PR