注意!ネットID悪用被害増加⇒ロジテック無線LANルーターが原因、型番とシリアル番号の確認を!

NHKは10月25日、「家庭のネットIDなど悪用被害150件超」というニュースを配信していた。 一般家庭からインターネットに接続する際のIDやパスワードが盗まれ、銀行やゲーム会社などへのサイバー攻撃に悪用される被害が、NTTコミュニケーションズによると今年4月から今月までに少なくとも158件起きているという。 調査の結果、無線LANブロードバンドルーターの脆弱性が原因でIDやパスワードが盗まれているという。

そのルーター、ロジテック製のもので既に30万台は売られている製品だという。 NTTコミュニケーションズが提供しているロジテック製の無線LANブロードバンドルーターだけの問題ではないのだ! 他のISP事業者の中にもあるかもしれないし、個人で家電で買って使用しているルーターにも該当品があるかもしれないのですゾ!

ロジテックのHP>重要なお知らせ http://www.logitec.co.jp/info/2013/0820.html によると対象製品は――

● 製品名: 300Mbps無線LANブロードバンドルータ

● 型番: LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2

● シリアルナンバー 末尾が「B」

● ファームウェア バージョン2.17

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因1みなさーん、自分の無線LANブロードバンドルーターがロジテック製かどうか、該当製品なのかどうか、一度調べてみなはれ!!!

該当製品を使用していてロジテックにと合わせたいときは――

「ロジテック株式会社 お客様相談室」
電話番号:0120-075-535(フリーダイヤル)
受付時間: 10:00~12:00 13:00~18:00
月曜日~金曜日(祝祭日、夏期・年末年始特定休業日を除く)

さて、この問題、調べてみると実は去年から確認されている問題だとITproの記事は詳細に伝えている。 今になってNHKがニュースで流すのは、それなりの状況になってきていることだと思う。 30万台も売られている製品に起きているセキュリティーの脆弱性によるID、パスワードの流出の危険性の問題なのに一般的にはほとんど知られてはいないのではないか? NHKニュース⇒ITproの記事の順でクリップ記事を以下に掲載――

家庭のネットIDなど悪用被害150件超
(NHK 10月25日5時3分)
ネットID悪用被害増加⇒ロジテック無線LANルーターが原因2一般家庭からインターネットに接続する際のIDやパスワードが盗まれ、銀行やゲーム会社などへのサイバー攻撃に悪用される被害が、ことしに入って150件以上に上っていることが分かりました。 無線LANなどを利用するための機器の欠陥が悪用されたとみられ、インターネットプロバイダーが注意喚起を始めました。

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因3家庭からインターネットを利用する際は、通常、プロバイダーと契約して接続しますが、その時に利用するIDとパスワードが盗まれるケースが相次いでいます。 盗まれたIDはサイバー攻撃に悪用されていて、プロバイダー事業を行うNTTコミュニケーションズの調査では、ことし4月から今月までに、少なくとも158件起きているということです。

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因4攻撃の対象となったのは、オンラインバンキングやゲーム会社など20社以上のサイトで、何者かが発信元を分からなくするため、盗んだ他人のIDを利用したとみられています。

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因6このIDが盗まれた原因のほとんどは、無線LANなどを使用するためのルーターという接続機器に搭載されたソフトウエアの欠陥です。

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因7ルーターは通常、家庭のパソコンからしか操作できませんが、一部の機器に、外部からアクセスできる欠陥があり、ネット接続のIDなどが盗まれているということです。

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因5これについて、複数のプロバイダーや業界団体は調査を進めていて、このうち、NTTコミュニケーションズは、問題のある機器を使っているおよそ4600人の顧客に、電話や手紙で注意の呼びかけを始めました。

NTTコミュニケーションズの北村和広担当部長は、「パソコンやスマートフォンだけでなく、周辺機器のセキュリティー対策も必要になってきている。被害を防ぐために、ルーターなど接続機器のソフトを最新の状態にするとともに、パスワードも変更してほしい」と話しています。

■ 周辺機器もソフトウェア更新を

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因8IDなどが盗まれた接続機器の大半は、東京のロジテック社が平成21年8月から去年11月まで販売した無線LANブロードバンドルーターと呼ばれる製品で、合わせておよそ30万台が売られました。

ネットID悪用被害増加⇒ロジテック無線LANルーターが原因9ロジテック社は、自社のホームページに該当する製品の型番などを掲載し、利用者に対して、欠陥を修正するためルーターのソフトウェアを最新のものにするとともに、ネット接続のためのパスワードを変更するよう呼びかけています。

ホームページのアドレスは次のとおりです。
http://www.logitec.co.jp/info/2013/0820.html
(NHKのサイトを離れます)

ロジテック社は、「ルーターのソフトウェアの更新情報を自動的に通知する機能を導入するなど、通信事業者とも連携して、対策を強化したい」と話しています。

また、ほかの企業が販売している複数のルーターでも、サイバー攻撃に悪用されるおそれのある問題が確認されていて、通信事業者の業界団体である「テレコム・アイザック推進会議」が実態調査を進めています

この団体は、「パソコンのセキュリティー対策が進む一方で、スマート家電などインターネットにつながるほかの機器を狙ったサイバー攻撃への懸念が高まっている。利用者はパソコンだけでなく、周辺機器のソフトウェアも定期的に更新して、最新の状態にするよう注意してほしい」と呼びかけています。

http://www3.nhk.or.jp/news/html/20131025/k10015538441000.html

日経BP ITpro の記事によると、この件はかなり根が深そうだ――

実は他社でも起こっている!
OCNを襲った不正アクセス事件にISP各社はどう対処すべきか
(日経BP ITpro 2013/09/27)

NTTコミュニケーションズ(NTTコム)のインターネット接続サービス「OCN」において、2013年6月に発生した接続パスワードの不正変更事件。メール送受信や契約者情報の確認・変更には別のID/パスワードが必要なため、決済情報を含む個人情報の漏洩はなかったが、インターネットサービスプロバイダー(ISP)業界で大きな話題となっている。

NTTコムの6月26日の発表によると、不正変更されたパスワードの数は756件。6月24日の午後5時に異変に気付いた。ログを詳細に分析した結果、特定のIPアドレスから多数のIDに対してパスワードの変更を試みた形跡があったという。悪用されたIDによる接続を一時的に遮断して対処した。

その後も調査を続けると、原因はどうやらロジテック製の無線LANブロードバンドルーター(「LAN-W300N/R」「LAN-W300N/RS」「LAN-W300N/RU2」)の脆弱性にあることが判明する(写真1)。そこでNTTコムは、8月20日に発表したように、当該ルーターの利用顧客をインターネット経由で調べ、対象者に個別に連絡して対策を促すことにした。

実は他社でも起こっている, OCNを襲った不正アクセス事件この事件が注目を集める理由は、主に二つある。一つは、原因が無線LANブロードバンドルーターの脆弱性にあるため、NTTコムだけの問題で終わらない点。他のISPにも少なからず影響を及ぼす恐れがあり、既に一部で被害も出ている。もう一つは、NTTコムが当該ルーターの利用顧客を調べるところまで対策に踏み込んだ点である。同行為は本来、「通信の秘密」に抵触するが、総務省が異例の措置で認めた。

今回の事件には様々な問題が凝縮されており、以下では背景を少し詳しく解説しておきたい。

■ 犯人は何が目的なのか?

関係者によると、犯人が何の目的で接続パスワードを変更したのか、全く見当が付かなかったという。接続IDとパスワードを大量に入手したところで何のメリットがあるのか。しかも接続パスワードを変えられるのは、OCNに接続しているユーザーだけ。接続パスワードを大量に変更すれば、足もつきやすくなる。愉快犯のようにみえた。

だが、調査を進めるうちに違う実態が浮かび上がってくる。まず被害を受けた接続パスワードは、総当たり攻撃で入手されたと想定していたが、何十回、何百回と試した形跡はなく、「かなり高い的中率で変更されていた」(OCN関係者)。接続パスワードを変更するには、そもそもOCNのIDが必要で、そのために使われたIDは16件。それも、本来の契約者と全く関係ない場所からアクセスされていた。つまり、犯人はOCNに接続できるが、契約者ではなく、何らかの手段でIDとパスワードを不正に入手したとみられる。

一方で、同社には「OCNから大量の不正アクセスが来ているので、そちらで止めてほしい」といったクレームが入っていた。一般に不正アクセスといっても、成功しないスキャンに近い攻撃はどこでも大量に受けている。攻撃を検知した側でフィルタリング(ドロップ)するケースが多いが、OCNから様々なIPアドレスを使って攻撃してくるので対処しきれないというのだ。こちらも原因を調べると、本来の契約者と全く関係ない場所からのアクセスだった。春頃から同じような事象は起こっていたが、7月に入って急増した。

それぞれの事象を詳しく調べていくうちに判明したのが、前述したロジテック製の無線LANブロードバンドルーターの脆弱性である。接続パスワードを変更された756件を含め、使用中のルーターの機種を聞くと、「分からない場合を除き、ほぼすべてがロジテック製だった」(関係者)。犯人は、「LAN-W300N/R」「LAN-W300N/RS」「LAN-W300N/RU2」の3機種で判明している脆弱性を悪用してルーターに登録された接続IDとパスワードを盗んでOCNに接続し、大手銀行やゲーム会社にパスワードリスト攻撃などを仕掛けていることが分かってきた。

もっとも、756件の不正変更と大手銀行やゲーム会社への攻撃は全く別の事象で、犯人は違う可能性もある。ただ、どちらも同じ地域から接続しており、同社は関係性が高いとみているようだ。

■ OCNの全ユーザーにポーリングを実施

原因を特定できても、対策は困難を極めた。ルーターの脆弱性自体はファームウエアのバージョンアップで解決できるのだが、ユーザーはルーターを自由に選んでつなげられるため、NTTコムには当該ルーターの利用者が分からないのだ。提供元のロジテックも家電量販店などで広く販売しているため、正確に把握していないという。

ここで多くの読者はユーザーへの注意喚起を強化すれば良いと考えるかもしれないが、そう単純ではない。実は、ロジテックが当該ルーターの脆弱性を発表したのは1年以上も前の2012年5月16日である。外部ネットワークからルーターの管理画面にアクセスできてしまう脆弱性で、ルーターのID/パスワードの初期設定は公開されている。実現が容易で危険性が高いことから、ロジテックだけでなく、様々な業界団体やISPがこれまでも対策を呼びかけてきた。

しかし、ITに詳しくない一般ユーザーに対策の徹底を求めるのは厳しい面がある。こうした背景もあって、多くのルーターが未対策のまま放置されている。とはいえ、未対策の当該ルーターが残っている限り、接続IDとパスワードを悪用した不正アクセスは続く。そこでNTTコムは一歩踏み込んだ対策を決断する。冒頭で述べた、インターネットを介した利用状況の調査である。

脆弱性の概要からも分かる通り、当該ルーターに脆弱性が残っていれば、外部からでもアクセスできることになる。OCNの全ユーザーのIPアドレスに対して特殊なポーリングをかければ、脆弱性の有無を判別できる。関係者は具体的な手法を明らかにしていないが、ポートにtelnet(TCP)で接続して応答メッセージを確認、切断するだけで調べられそうである。ポーリング自体はID/パスワードを入力しない限り、不正アクセスには該当しない。

残る問題は、脆弱性の存在が判明したIPアドレス(とその時刻)から契約者を特定すると「通信の秘密」に抵触してしまうことだった。ただ、銀行やゲーム会社などから警察に被害届も出ており、対策は待ったなしの状況だった。そこで総務省に事情を説明したところ、7月下旬に特別に許可が下りた。調査自体は、他のISPに横展開しやすいように、日本データ通信協会テレコム・アイザック推進会議に依頼した。

NTTコムは1回目のポーリング調査を既に終えており、脆弱性が残っている当該ルーターは4000件前後に上ったという。ただ、調査時にルーターの電源が入っていないと脆弱性があっても漏れてしまうため、今後も継続して調査する考えだ。あとは当該ユーザーに個別に連絡して対策を促すことになるが、ユーザーからすれば急に言われても困惑するだけである。そこで、前述したように8月20日に調査の事実を発表(写真2)。脆弱性が残っているルーターの所有者に対しては、メールではなく手紙や電話で丁寧に説明するなど、細心の注意を払って対策を依頼している。

実は他社でも起こっている, OCNを襲った不正アクセス事件2■ 他のISPでも被害発生、対応に悩む各社

ここまで事件の経緯を説明してきたが、まだ解決したわけではない。現時点でNTTコム以外のISPからの発表は見当たらないが、他のISPでも被害が出ているようだ。

NTTコムとは異なり、ISPの中には接続IDとパスワードで契約内容を変更できるところがある。「VoIP(Voice over IP)のオプションに勝手に契約され、大量の通話料を請求されたケースも出ている」(業界関係者)という。特定の場所(海外)に電話をかけると、通話料相当の一部がキックバックされる仕組みに悪用されているとみられる。

ただ、対策に関する考え方はISPによって分かれる。ISPの立場からすれば、接続IDとパスワードの管理はユーザーの自己責任。当該ルーターに関しても、自社で販売しているわけではないので本来は関係ないと言える。NTTコムのように踏み込んだ対策に取り組めば、対応だけで膨大なコストがかかる。ユーザーに対策を促しても確実に実施してくれるとは限らず、完全な根絶となると相当な負荷である(なお、ISPによっては特定ホームゲートウエイ(HGW)の利用を前提としているので影響がないという事業者もある)。

しかもブロードバンドルーターの脆弱性は今回に限った話ではない。最近では「オープンリゾルバ」(外部からの再帰的な検索が許可されているDNSサーバーで、DDoS攻撃に加担してしまう恐れがある)の問題が多くの製品で発覚しており、その都度、対応していたらキリがないという面もある。

そもそもNTTコムが今回実施したルーターの利用調査に対しても、業界では賛否両論がある。ブロードバンドルーターは、ISPにとってはユーザー宅内の責任分界点の外にあるため、「人の家のポストの中身まで調べるようなこと」(セキュリティの専門家)との指摘がある。

ただ、銀行やゲーム会社などは実際に大量の不正アクセスを受けており、NTTコムがそこまで踏み込んで調査せざるを得ないほど状況が悪化してきていることも事実だ。ISP各社は難しい対応を迫られている。まだ具体的には発表していないものの、NECビッグローブやソネット(So-net)もテレコム・アイザックを通じた調査に乗り出すもようだ。

一方、ユーザーにとっては、ルーターの脆弱性にも十分に注意することが重要になってきた。ルーターの場合は運用面で課題を残しそうだが、開発メーカーにはファームウエアの自動更新や自動通知の仕組みを搭載してほしいところだ。前述した「通信の秘密」への抵触を認める条件を含め、業界のルールの見直しも必要と言える。

http://itpro.nikkeibp.co.jp/article/Watcher/20130925/506863/?ST=network&P=1

ついでに調べてみたら、ホー、KDDIもこの件のお知らせをHPに掲載しているが、ナゼか「法人のお客様」にだけしか掲載していないようだ。 個人客はどうでもいいのか!?

ロジテック社製ルータの脆弱性対策に関するお願い(KDDI)http://www.kddi.com/business/news/information/130912/

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中