Akamai 脅威アドバイザリ

大規模攻撃キャンペーンの起動に IoT デバイスの SSHowDowN を悪用

Ezra Caltum および Ory Segal、Akamai 脅威研究チーム
発行日:2016 年 10 月 11 日

エグゼクティブサマリー

インターネット接続デバイスのエンドユーザーは、工場出荷時のデフォルト設定についてどのくらい考えているでしょうか。おそらくもっと考えるべきでしょう。Akamai の脅威研究チームは最近、ウェブベースの認証情報盗み取りキャンペーンの発信源として、数百万台ものインターネット接続(IoT)デバイスが利用されていたケースについて報告しました。もう少し深く掘り下げていくと、このような IoT デバイスは、オペレーティングシステムにある一部のデフォルト設定の弱点により、悪意のあるトラフィックをルーティングするプロキシとして利用されていることがわかりました。

このことは以前にも報告されていましたが、接続デバイスの増大とともに脆弱性が再び浮上してきました。Akamai のチームは現在、広く普及しているデバイスのベンダーと協力して、緩和の計画案に取り組んでいます。強調したいのは、これは新タイプの脆弱性でも攻撃テクニックでもなく、インターネット接続デバイスの多くのデフォルト設定にある弱点だということです。この弱点は、Akamai のお客様に対する大規模攻撃キャンペーンで盛んに悪用されています。

以下のようなタイプのデバイスからの SSHowDowN Proxy 攻撃が確認されていますが、それ以外のデバイスタイプも脆弱である可能性があります。 

  • CCTV、NVR、DVR の各デバイス(ビデオ監視) 
  • 衛星アンテナ機器 
  • ネットワークデバイス(ルーター、ホットスポット、WiMax、ケーブルモデム、ADSL モデムなど) 
  • インターネットに接続された NAS(ネットワーク・アタッチ・ストレージ)デバイス

脆弱な接続デバイスは以下のように利用されています。 

  1. HTTP、SMTP、ネットワークスキャンなど、あらゆる種類のインターネットターゲットとインターネット接続サービスに対して攻撃を仕掛ける 
  2. このような接続デバイスをホストする内部ネットワークに対して攻撃を仕掛ける

このようなデバイスのウェブ管理コンソールにアクセスした悪意のあるユーザーは、デバイスのデータを脅かして、場合によってはマシンを乗っ取ります。

このケースでは、IoT デバイスはおそらく、デフォルトのウェブ・インタフェース・ユーザーが SSH でアクセスしてコマンドを実行できないように強化されていたにもかかわらず、不正な SSH トンネルが作成されて使用されました。こうしたことにより、警告を繰り返さざるを得ないのです。

身を守る方法

エンドユーザー: 

  1. あらゆるインターネット接続デバイスの工場出荷時の認証情報は、必ず変更する。 
  2. インターネット接続デバイスの SSH サービスは、通常業務に必要でないかぎり、完全に無効にする。SSH が必要な場合は、sshd_config を「AllowTcpForwarding No」に設定する。 
  3. 社内ネットワークといった狭い範囲の信頼できる IP スペースの外側からの IoT デバイスへの SSH アクセスを防ぐ、インバウンド・ファイアウォール・ルールの確立を検討する。 
  4. トンネルのアウトバウンド接続の確立を防ぐ、ネットワーク境界の IoT デバイス向けアウトバウンド・ファイアウォール・ルールの確立を検討する。

デバイスベンダー: 

  1. 未登録アカウントのインターネット接続デバイスを出荷しないようにする 
  2. 通常業務にどうしても必要でない限り、デバイスの SSH を無効にする 
  3. 初回インストール後、ユーザーに工場出荷時のアカウント認証情報を変更させる 
  4. TCP Forwarding を許可しないよう SSH を設定する 
  5. sshd の設定を更新するセキュアなプロセスをエンドユーザーに提供して、ファームウェアパッチを待たずに将来の脆弱性を緩和できるようにする

技術詳細

先日、Akamai の脅威研究チームとその他のセキュリティベンダーや研究チームによって、サードパーティの被害者に対する攻撃を仕掛けるために悪用されている IoT デバイスについて、ある傾向が報告されました。このようなデバイスが、顧客に対する大規模な HTTP ベースの認証情報盗み取りキャンペーンの実施に利用されました。

強調したいのは、これは新タイプの脆弱性でも攻撃テクニックでもなく、IoT デバイスの多くのデフォルト設定にある弱点だということです。実際、同様のトピックに言及する複数の記事が公開されています。以下はその例の一部です。

  • Brian Krebs 氏のブログ投稿(「IoT Reality: Smart Devices, Dumb Defaults」) 
  • Jeff Huckaby 氏の、ハッカーが SSH トンネルを使ってスパムを送信する方法を説明した記事 
  • CVE-2004-1653:デフォルトで TCP Forwarding が有効になっている OpenSSH と、それが引き起こす通常のシェルアクセスが許可されていないサービスアカウントに対するリスクに対して公開されたセキュリティ勧告 
  • Jordan Sissel 氏の、/bin/false 使用の危険性について論じた記事 
  • Joey Hess 氏の、デフォルトの SSH TCP Forwarding 設定に関連する危険性について論じたブログ投稿

Akamai のプラットフォームであるクラウド・セキュリティ・インテリジェンスの大規模なデータセットの分析で、いくつかの共通機能がわかり、IoT デバイスが、被害者サイトに対する悪意のあるトラフィックをルーティングするプロキシとして利用されていたことを確信するに至りました。

この仮説を証明するために、攻撃で使用されたものと同じデバイスをインストールして脅威研究ラボに接続し、当社やお客様、そしてすべての IoT デバイスユーザーを効果的に保護する方法を見つけるために、根本原因と攻撃者が使用したテクニックを明らかにする取り組みを決定しました。