事例Use case

【Bitdefender海外ブログ】13機種のルーターとNASデバイスから125件のセキュリティに関する脆弱性を発見

2020.3.19

ツイート シェア 送る はてブ

lan-2815248_1920.jpg

実験の結果、完全に乗っ取られたデバイスも数多く存在

研究者が13機種のルーターとネットワークアタッチドストレージ(NAS)デバイスのセキュリティステータスを評価したところ、125件の脆弱性が見つかりました。その一部は、認証も無くリモートで不正に利用することができてしまうというものでした。今回の調査対象となったほぼすべてのガジェットには、攻撃者に管理パネルへのリモートアクセスを許すセキュリティ問題が、少なくとも1件は含まれていました。

実験は、2013年に実施されたSOHOpelessly Broken調査と同じ内容で行われました。2013年の実験では、コンサルティング会社であるIndependent Security Evaluators(ISE)が、13機種のスモールオフィス・ホームオフィス(SOHO)向けルーターや無線アクセスポイントから、52件の脆弱性を発見しました。この発見が、セキュリティカンファレンス「DEF CON」で行われるハッキングコンテスト「SOHOpelessly Broken」の名称の由来となっています。

最新の調査では、一般消費者や企業向けに開発された各種メーカー製品に注目しました。Synology、Asus、Zyxel、Seagate、QNAP、Lenovo、Xiaomiなど、評価の高い老舗ブランドのデバイスも調査対象に含まれました。一部には研究者が過去に評価したガジェットもあります。

対象となったコネクテッドデバイスのうち12機種で、最高レベルのアクセス権取得に成功しました。つまり、デバイスを完全に乗っ取ったということです。対象デバイスには、サポート付きの最新市販ファームウェアが搭載されていて、実験は推奨されるセキュリティが有効になっている「追加設定不要」の状態で行われたことに注目してください。


★SECURIEなら
自宅のIoT機器のセキュリティ状態が一目でわかる!アプリで簡単診断!
【製品レビュー】自宅のスマート家電のセキュリティ状態が一目でわかる「SECURIE(セキュリエ) powered by Bitdefender」



メーカーの実装するセキュリティ制御だけではハッキング対策としては不十分

研究者は次のように説明しています。「たとえばNASは通常、ファイル共有プロトコルが有効で、ルーターは、社内ネットワークデバイス通信をサポートするUPnPなどのサービスが有効になっています。初期設定のままデバイスを使用する一般ユーザーの振る舞いを模倣しました。」

この実験は、評価プロセスを4段階に分けて行われました。対象機器の詳細をできるだけ取得するステップ、有効なサービスを把握し、攻撃対象領域をマッピングするステップ、アクセス権を取得するステップ、そして、エクスプロイトを開発するステップです。不正にリモートアクセスすることが目的なので、ネットワーク経由でアクセス可能なサービスに注目しました。

研究者は、結果の妥当性を証明するため、メーカーのセキュリティ対策を無効にする概念実証(PoC)コードを作成しました。このコードは、メーカーに共有され、メーカーの多くは脆弱性を認識し、ISEと協力して、これらの問題の改善に取り組んでいます。

今回の調査で注目したリスクから、メーカーが製品に実装するセキュリティ制御は、ハッキング対策として不十分であることが証明されました。ローカルネットワークの入口・出口を保護する追加セキュリティソリューション(弊社独自のBitdefender BOXなど)によって、初めてリモートで攻撃者がローカルネットワークへ侵入することを防ぎ、ネットワーク上のすべてのデバイスのセキュリティ設定を強化することが可能になります。

翻訳元記事 125 Security Vulnerabilities Found in 13 Routers and NAS Devices

SECURIEでスマート家電やIoT機器を保護

SECURIE powered by Bitdefenderは、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

SECURIE_200319.PNG1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

Top_200319.PNG

2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

デバイス_200319.PNG

3.脆弱性診断(セキュリティ診断)
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

脆弱性レポート_200319.png