事例Use case

【Bitdefender海外ブログ】既知の脆弱性が5年間未パッチ状態 ルーター情報漏えい

2019.7. 2

ツイート シェア 送る はてブ

linksys.png

放置された脆弱性によってハッカーの不正利用が可能に

IoTデバイスを常に最新状態にしておくべきだという警告は、セキュリティ専門家が何年も前から繰り返してきたものです。しかしそんなメッセージが気に留められることはなく、もう存在しないはずの脆弱性がいまだに悪用され、デバイスの持ち主を危険にさらしています。

Linksys Smart Wi-Fiルーターにはセキュリティ上の問題があり、ハッカーによって、地理的位置の特定に使えるデバイス情報が世界のどこからでも取得されてしまいます。このルーターからは、ルーターへの不正アクセス攻撃をたくらむ者の助けになる情報も漏えいします。

発覚時点では、インターネットで危険にさらされていた脆弱性のあるデバイスは2万5千台を超えていました。この脆弱性は新たなものではなく、ハッカーたちも早いうちに付け込もうと急いでいるわけではありません。新しいどころか2014年には公表され、CVE-2014-8244として公表されていましたが、その後もパッチが適用されないまま放置されていました。

セキュリティ企業Bad Packetsの共同創業者Troy Mursch研究員は、脆弱性対象のLinksys製ルーターの約半分が米国内にあることをつきとめました。脆弱性は複数のモデルで見つかり、販売価格249ドル(約27,000円)のWRT3200ACMなど、2016年に発売され今でも高値が付けられているAC規格対応のギガビットルーターもその1つです。


ルーターに接続したデバイスの詳細情報も漏えい

Mursch研究員によると、技術力の低いリモートハッカーでも(パブリックIPアドレスに基づいて)脆弱性のあるルーターの地理的位置を特定できるだけではなく、ルーターに接続されている端末のMACアドレスの全履歴情報まで見ることができます。MACアドレスは固有の識別番号で、これが分かればデバイスのメーカー名も判明します。

Mursch研究員は、ルーターを動かすOSについても攻撃者に筒抜けだと言います。また、デバイスのタイプ、メーカー、型番、ディスクリプションなど、さらに詳細な情報まで取得できるケースもあると指摘します。

この脆弱性によってセキュリティ侵害が直接的に引き起こされるわけではないものの、攻撃者の偵察行為を助長するものです。この情報があればユーザーのネット環境にあるデバイスを推測でき、ハッキングがしやすくなるからです。

最悪なのは、これらのLinksys製デバイスが今後も未パッチのままとなる可能性があることです。欠陥が一般に公表されたのは5年前ですが、Linksysはパッチを提供していません。Mursch研究員がこれを報告しましたが、それに対する返答は、当該問題は「適用外」であり修正不可能であるというものでした。

被害を受けたルーターの半分以上がファームウェアの自動更新をオンにしているため、もしLinksysがパッチの発行を決断すれば、これらのルーターからの機密情報の漏えいはすぐに止められるだろうとMursch研究員は言います。上記のようなリスクに対する別の緩和策としては、家庭内のすべてのデバイスをネットワークレベルで保護してハッカーの攻撃から守るセキュリティルーターもあります。

翻訳元記事:Known vulnerability stays unpatched for five years, exposes router info




SECURIEでスマート家電やIoT機器を保護

SECURIE (セキュリエ)powered by Bitdefenderはご家庭のwi-fiネットワーク全体を保護する、ホームネットワークセキュリティです。パソコン、スマートフォン、タブレットだけでなく、インターネットに接続するテレビ、スマートスピーカー、ゲーム機、デジタルビデオレコーダーなどを含む、全てのネット接続機器をサイバー攻撃の危険から保護します。

1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

android5.png

2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

IMG_4092.PNG


3.脆弱性診断
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

20180417_005458000_iOS.png