今日のニュース・出来事まとめ最新版

今日の最新出来事・情報を即キャッチ!!

つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケ(ITmedia NEWS)

time 2018/03/14

Internet of Things(IoT)の最大のポイントは、ネットワークを介して機器同士が、あるいは機器とクラウドサービスなどがつながること。これまで単体で動作してきた組み込み機器などがネットワークを介して互いにデータをやりとりすることで、今までは考えられなかった新しいサービスが生まれると期待されています。

【画像】ポートスキャンの被害状況

 つまりIoTでは「つながる」ことが大前提です。そして、つながるに当たって何となく“ある思い込み”を持っている人が少なくありません。「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながり、不特定多数がつながることはない」というものです。

 ですが、それは安全神話に過ぎません。実際には、適切なネットワーク設定を実施していないと招かざる客、つまり不正アクセスを受ける可能性があります。

 2016年秋に史上最悪規模のDDoS攻撃をもたらしたマルウェア「Mirai」や、そのソースコードをベースにして生まれた「Hajime」「Satori」などの亜種も、アクセス制限が欠如したまま運用されていたIoTや組み込み機器をターゲットにし、感染を広げました。ということで、安易なパスワード設定と並んでセキュリティリスクを招く、ネットワークアクセス制御に触れてみたいと思います。

●つながる機器にも必須、ネットワークのアクセス制御

 Miraiやその亜種は、一時期ほどの勢いはないにせよ、いまだにネットワーク上で盛んに活動しています。こうしたマルウェアは拡散のため、

 「telnet」というネットワークサービスに使われる「TCP/23」をはじめいくつかのポートが外部からアクセス可能かどうかをスキャンします。いわゆる「ポートスキャン」と呼ばれる行為です。もし狙いのポートが空いていることが分かると、「123456」や「password」など推測可能なパスワードを用いて不正ログインし、ボットをダウンロードさせたり、攻撃者の操るC2サーバと通信したりします。

 「ポート」は、簡単に言えば、Webやメールといったネットワーク越しに利用できるさまざまなサービスを識別するための番号です。ポートを開けているというのは、扉や窓を開け放っているようなもの。外出時には戸締まりをし、時にシャッターを下ろすのと同じように、不必要なポートは外部から接続できないよう閉じておくことは、ネットワークセキュリティの最も基本的なポイントです。その上で、一定の長さを持ったパスワード、あるいはもっと強固な手段で認証を実施し、正当な利用者しか開けた窓から入れないよう鍵を掛けます。

 一方攻撃者は、無作為に家を選んで扉や窓をノックし、戸締まりの甘いところがないかを探します。これが先ほど述べたポートスキャンです。もし鍵(=認証など)がなかったり、あるいは簡単に開けそうな鍵だったらそのまま侵入を試みます。そして情報を抜き出したり、ターゲットに存在する脆弱性を悪用したりして、被害を広げていきます。

 従って、Webなど外部とのやりとりのためにどうしても使わざるを得ないポート、管理の必要上どうしても空けておく必要のあるポートを除いて、外部からは利用できないようアクセス制限を実施する(時には、特定のIPアドレスからしか接続を受け付けないよう制限する)のが、ネットワークセキュリティ対策の第一歩です。

 この鉄則、企業ネットワークなどではかなり徹底してきました。というのも、過去に「SQL Slammer」などのいくつか苦い経験があったからです。またセキュリティ関連機関が、「脆弱性を修正しないままインターネットに接続したPCは、わずか4分程度でマルウェアに感染する」といった情報を公開し、修正パッチの適用と、ルーター/ファイアウォールによるアクセス制御の実施を呼び掛けてきたことから、家庭で使うPCについても対策が必要だという意識は浸透しつつあるようです。

 これに対し、今急速に増加しているネットワーク接続機能を備えた組み込み機器、IoT機器は、見た目がPCとは違っていることもあってか、アクセス制御をはじめとする対策の必要性があまり意識されていないように思います。

 機器の安全を保つには、メーカーとユーザー、間をつなぐ通信事業者それぞれの取り組みが必要ですが、責任の境界線が曖昧なことも一因かもしれません。しかも機器によっては、ユーザーがアクセス制御の設定を行える手段が用意されていないことも指摘されています。メーカーなりに、「ユーザーにあまり難しい操作をさせたくない」と考えて、設定画面を省いたり、あるいはメーカーだけが利用できる隠し管理機能を用意したのかもしれませんが、つながる世界においてそれはリスクを招きかねません。

●アクセス制御の必要性、分かっていても徹底できない理由は?

 さて、ここまで言うならば、ITの世界ではポート制御によるアクセス制御がさぞかし確実に行われているかというと、残念ながらそうではありません。同じような過ちは過去20数年に渡って繰り返されてきました。

 例えば、2017年に猛威を振るったランサムウェア「WannaCry」は、やはり外部からアクセス可能な状態だったTCP/445を介し、脆弱性を悪用しました。

 また18年2月末、JPCERTコーディネーションセンター(JPCERT/CC)は、「memcached」と呼ばれるソフトウェアに対するスキャンが増加していると注意を呼び掛けましたが、これは、インターネットからUDP/11211ポートでアクセスできる状態にあるmemcashdが「踏み台」となって、DDoS攻撃に悪用されたからです。

 いずれも何となく「まさかこのサーバは外部からアクセスされないだろう」「デフォルトのままでもアクセスは制限されているだろう」という思い込みが元になったといえるでしょう。

 このように、ITの世界でもIoTの世界でも「不要なポートは開けない」という鉄則は承知していても徹底し切れていないのが現状で、それにはさまざまな理由がありそうです。

 まず設定画面がなかったり、あっても分かりにくい可能性があります。この部分は、メーカーに善処を期待したいところです。ちなみに家ならば窓の数は限られていますが、ポートは0から65535まであり、中には機器独自のサービスのために活用しているケースが多々あります。最近のIoTボットネットの中には、TCP/5358やTCP/37777といった、見慣れないポートをスキャンするものがありますが、それはこうした独自サービスを狙ったものです。人間では完全に管理していくのが難しいアクセス制御を、より分かりやすく実現する仕組みが必要でしょう。

 また、ITでもIoTの世界でも、環境は常に変化します。ITの世界における「シャドーIT」のように、ユーザーや管理者の思いもつかないところで新しく機器やサービスが追加され、ネットワーク構成が変化することはままあります。一度設定したら安心、ではなく、変化する環境に合わせて、定期的に現在のセキュリティ設定を確認する必要もあるでしょう(それをユーザー側に求めるのは非現実的かもしれず、新たなサービスなどで補完するのも一案です)。

 TCP/80やTCP/443番といった、誰もが利用し、サービスに不可欠なポートはなかなか止められないことも課題です。事実、最近のITの世界ではこれらを逆手に取り、このポートを介した不正アクセスが増えています。そうした場合には、認証やモニタリングを強化するといった他の手段が必要でしょう。

どこまで信じればいいかが難しいな・・・

やってもいないのに
レビューしてる人もいるだろうしね。

わたしが気になっているのはコレ・・・

効果についてのレビューは、悪評はないみたい。

ほとんどが【怪しい】と考えてることが
前提の推測ばかり。

ただネットの商品って
詐欺が多いって聞くし
購入して、始めてみたいけど・・・

本当に悩むなー。

sponsored link

down

コメントする




ブログ統計情報

  • 13,686 アクセス



sponsored link

%d人のブロガーが「いいね」をつけました。