ネットワーク機器にも目を向けよう(357号)
最近は、セキュリティを意識する方が増えています。
そのため、パソコン(PC)でのWindows Updateの実施率やマルウェア対策ソフト(いわゆるウイルス対策ソフト)の導入率は上がっています。
しかし、その反面、インターネット接続を支えているネットワーク機器への対応は不十分な状態が続いています。
今回は、ネットワーク機器でのセキュリティ対策についてお話をします。
ネットワーク機器
当たり前ですが、インターネットに接続するにはネットワーク機器が必要です。
多くの組織では光などの固定回線を事務所に引いている場合が多いでしょう。
小規模オフィスやご家庭なら、モバイルルータ(4Gや5Gの携帯電話の回線を利用する機器)を用いている場合もあるかもしれません。
代表的なネットワーク機器といえば以下のようなところでしょうか。
・ルータ
外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)を接続する機器
・スイッチングハブ(スイッチとかハブとも言います)
複数の機器接続で使う(タコ足配線する)機器。
・無線アクセスポイント
無線LANを利用するための機器。
こういった機器も内部は小さなコンピュータになっています。
とはいっても、パソコンやスマホに比べるとかなり非力です。
非力でもコンピュータですから、プログラムを実行することができます。
通常はメーカが提供しているプログラムが機器に入っていて、それ意外は実行できません。
ですが、製造元のバグなどにより外部のプログラムが実行できてしまう場合があります。
こういったバグを利用して、ウイルスなどのマルウェア(悪意のあるプログラムの総称)をネットワーク機器上で実行させようとする輩(やから)がいます。
通常、マルウェアというとパソコンやスマホで動作するものを指しますが、ネットワーク機器もコンピュータですから、パソコンなどと同様にマルウェアに侵入されることがあるのです。
ネットワーク機器を狙うマルウェア
2016年以前はネットワーク機器を狙うマルウェアはごく少数で、攻撃の可能性は誰しも認めつつも、注目を浴びることはありませんでした。
ところが、2016年にMirai(ミライ)というマルウェアの登場でその懸念が現実となります。
Miraiはネットワーク機器を狙って侵入するマルウェアで、上記のルータやファイアウォールに限らず、ネットワークカメラなどの機器も対象となっていました。
Miraiはネットワーク機器への侵入に成功すると、そのネットワーク内の全ての機器に侵入を試みて、テリトリを広げようとします。
Miraiに侵された後でも、Miraiはその機器には被害を与えません。そのため、侵入に非常に気づかれにくいマルウェアと言えます。
だからといって、悪さをしないわけではありません。
Miraiに侵された機器は、犯罪者が運営するネットワーク(ボットネット)に加入し、他の組織への攻撃(DDoS攻撃と呼ばれる方式)に参加させられます。
侵入を許したネットワーク機器は、他の組織への攻撃に利用されるのです。
Miraiの侵入を許したネットワーク機器は被害者でありながら、他への被害を広げる加害者になってしまうのです。
このMiraiが流行したのは2016年ですから、8年も前の話です(この文章は2024年に執筆)。
ですが、Miraiやその亜種(変種)の考え方は今も生きていて、ネットワーク機器用を狙ったマルウェアとして今も大きな脅威となっています。
DDoS攻撃
DDoS(ディードス)攻撃というのは、Distributed Deny of Serviceの略で日本語では分散型サービス拒否攻撃と呼ばれます。
これだけではワケがわからないので、少し解説しておきます。
最初は(先頭のDがない)DoS(ドス)攻撃(サービス拒否攻撃)というものでした。
それをたくさんのコンピュータで分散して(Distributed)行うのでDDoS攻撃と呼ばれます。
サービス拒否攻撃というのは、サーバに極端な負荷をかけて、サービス提供できなくする攻撃方法です。
具体的には、攻撃側のコンピュータはサーバにリクエストをしたまま、返信を受け取らずに放置します。
サーバ側は「受け取ったよ」という返信が来ていませんから、その状態保持が必要です。
でないと「受け取れなかったから再送して」と言われた時に再送できなくなるからです。
このような返信がまだ来ていない状態はサーバ内部で頻繁に発生していますが、こういった放置状態を意図的に何万、何百万と送り続けると、サーバ側も全てを保持するのが難しくなります。サーバ内部のメモリを使い果たしてしまうのです。
それでも、放置を続けるとそのうちサーバ側にリクエストを送っても「今いっぱいいっぱいなんで新たなリクエストはカンベンしてちょ」というエラー(これをサービス拒否と言います)を返さざるをえなくなります。
これがサービス拒否攻撃です。
一見大したコトなさそうですがタイミングによっては致命的な被害を与えられます。
例えば、以前から予告していたセールの日に合わせてDoS攻撃を仕掛けられるとどうでしょう。
せっかくセールだからと思ってアクセスしたお客さんはちっともサイトに接続できません。
あまつさえ「現在混み合っておりますので、後程アクセスしてください」などと言われてしまいます。
お客さんにはこれがDoS攻撃による影響であることを知るすべがありません。
「何がセールだよ。買われへんやんか。やる気あんのか」となっては、運営側の信用に関わってきます。
ですので「DDoS攻撃を仕掛けられたくなかったらカネ払え」という脅迫が成立するわけです。
「自社に被害がないから、マルウェアに侵入されてもOK」というわけにはいかないのです。
いくら悪意がないからといって、よそ様に被害を与えるようなマルウェアの侵入は防がねばなりません。
Miraiに侵入される組織の特徴
実はMiraiの侵入はカンタンに回避できます。
というか、Miraiに侵入された組織には共通した特徴があるのです。
それは、管理者パスワードがまともに設定されていない、という点です。
Miraiは管理者IDとパスワードでシステムにログインしようとします。
ネットワーク機器には必ず管理者IDとパスワードが設定されています。
Miraiの流行前は、商品出荷時のパスワードに安直なものが多かったです。
例えば管理者IDは"admin"固定、パスワードは"password"だったり、ものによってはなし(空欄)となっているものすらありました。
特に家庭用のルータは深刻でした。
一般にルータの設定は複雑ですから、筆者のようなマニアでもない限り自動設定を使います。
機器導入が終わってしまえば、パスワードをわざわざ変更しようなどは思いませんよね。
かくして、デフォルトのパスワードのままという機器がゴマンと存在していたわけです。
Miraiが流行した2016年以降は、どのメーカもパスワードを一台一台違ったものとし、忘れた時の対策として
パスワードのシールを機器に張るようになりました。
わからない機器がつながってませんか?
新たに販売される機器については、個々に違ったパスワードを工場出荷時に設定することで一件落着といったところです。
ですが、過去に販売した機器はメーカとしても今更どうにもなりません。
この「過去の機器」問題は利用者側で対応するしかありません。
皆さんの組織で古い機器をお使いの場合は、何はともあれパスワード設定を確認してください。
その上で、その古い機器が本当に必要かどうかを検証してください。
ネットワーク機器を新しくすると、古い機器がうまく接続できなくなる場合があります。
このような場合、その古い機器はおそらく古い通信方式でしか通信ができないものと思われます。
こういった機器については(もったいないですが)製品寿命が尽きたと考えてください。
通信方式というのは時代によって変化します。
時には、古い通信方式がサポートされなくなることもありますが、それには必ず理由があります。
一番よくあるのは、古い通信方式への攻撃方法が見つかり、安全が確保できなくなるケースです。
例えば、いわゆる暗号化通信の方式に SSLとかTLSと呼ばれる方式があります。
これなどは、SSL2.0→SSL3.0→TLS1.0→TLS1.1→TLS1.2→TLS1.3と進化しているのですが、既にSSL2.0~TLS1.1までは安全ではないと言われています。
もし手元にSSL2.0やSSL3.0しかを使えないプログラムや機器があって問題なく動いているとしても使わないでください。
既に製品寿命を迎えていて安全ではなくなってしまったからです。
また、皆さんの組織には古くなくても「利用者不明で電源ONの機器」「誰かが勝手に設置した機器」はないですか?
こういった管理外の機器はセキュリティ対策の対象外となりますから、組織にとっての「穴」になります。
そういった機器が不正侵入を許してしまっている可能性があります。
誰かが勝手に設置した機器はキチンと組織の管理下におきましょう。
そして、それが古い通信方式を必要とするものなら残念ですが廃棄してください。
まとめ
現代では、コンピュータ機器のインターネット接続は必須といっていいほど日常的となりました。
そのため、パソコンにしてもスマホにしても、セキュリティ対策を気にする方が増えました。
一方で、ネットワーク機器のセキュリティ対策となると、意識の外になってしまっている方がまだまだ多いようです。
スマホなど一部の機器をのぞいて、インターネット接続にはネットワーク機器が必要です。
ネットワーク機器というのは設定が複雑ですし知識も必要ですので、一般的には自動設定機能を用います。
最近販売されている機器は、工場出荷時に一台づつ違ったパスワードとなっていますが、古い機器ではそんな気配りがありませんでした。
それを狙ったMiraiというマルウェアが2016年に流行します。このマルウェアは管理者IDやパスワードがデフォルトであったり簡単なものである場合に管理者権限を乗っ取り、さらに組織内のネットワークにも侵入して、犯罪者の運営するネットワークに加え、他のサービスへの攻撃に参加させます。
こういった攻撃に加えられたネットワーク機器は被害者でありながら、加害者にされてしまいます。
この被害を防ぐ方法は二つ。
一つはパスワード設定をキチンと行ってガードすること。
もう一つは全てのネットワーク機器を組織の管理下に置き、古い機器の運用や勝手な設置を許さないようにすることです。
特に後者の管理下に置くことはとても大切です。
ネットワークからの入り口を全て把握できていなくては、不正侵入を防げるはずがないからです。
いくら玄関のロックを厳重にしたって、横の窓が開きっぱなしではお話になりません。
セキュリティ対策は、全ての入り口に等しいレベルの対策を施すことで、初めて効果が発揮できるのです。
今回はネットワーク機器のセキュリティ対策についてお話しました。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?