自宅を「ハッキング」してわかったこと

自宅のネットワークに接続されたスマートテレビやルーターにも、攻撃者が悪用できてしまう脆弱性が存在するかもしれません。Kaspersky Labのエキスパートが、自宅のネットワーク対応デバイスをハッキングして検証しました。

ClevHouse

スマートデバイスのセキュリティは、今や大きな関心の的です。自動車や冷蔵庫、ホテル、ホームセキュリティなどに脆弱性を発見したという、ハッカーやリサーチャーによる記事もあちこちで目にします。これら諸々は総称して「IoT」(Internet of Things:モノのインターネット)と呼ばれ、業界で最も注目されているトピックの1つです。もっとも、こうした研究報告には1つだけ問題があります。それは、あまり身近に感じられないこと。IoTについて考えるようになり、私が思い至ったのは、いまここにある脅威から身を守ることができないのなら将来発生し得る新しい脅威に対して何ができるというのか、ということでした。最近の一般的な家庭には、ローカルネットワークに接続されたデバイスが5台前後あります。ここでいうデバイスとは、コンピューターやタブレットやスマートフォンではなく、スマートテレビ、プリンター、ゲーム機、ネットワークストレージデバイス、メディアプレイヤーや衛星放送受信機などを指しています。

そこで私は、ある調査プロジェクトを開始しました。自分の家がどれだけ簡単にハッキングできるか、調べようと思ったのです。はたして、ネットワークに接続されたデバイスに脆弱性はあるのか?こうしたデバイスに侵入できた場合、攻撃者は何を実行できるのか?我が家は「ハッキング可能」なのか?調査を開始するまで、自分の家はかなり安全だと思い込んでいました。そもそも私はセキュリティ業界に15年以上も身を置いており、セキュリティパッチの適用などに関しては心配性なまでに徹底しています。それに、「ハイテク」機器があまりない我が家よりも、他の家のほうがはるかにハッキングしやすいだろうと思っていました。

調査では、コンピューター、タブレット、スマートフォンではなく、自宅ネットワークに接続されているそれ以外のデバイスをすべて詳しく調べました。驚いたことに、想像以上に多種多様なデバイスがネットワーク接続されていました。大半は、ホームエンターテインメント用デバイスでした。スマートテレビ、衛星放送受信器、DVD/ブルーレイプレイヤー、ネットワークストレージデバイス、そしてゲーム機です。実は近いうちに引っ越しをする予定があり、かねてから地元のセキュリティ会社に相談していました。その会社が提案してきたのは最新の防犯システムで、自分のモバイルデバイスからネットワーク経由でシステムを管理できるというのですが、…調査を終えた今となっては、これが良いアイデアなのかよくわからなくなりました。

さて、自宅ネットワークに接続されていたデバイスをいくつか挙げてみます。

  • 某著名メーカーのネットワーク接続型ストレージ(NAS)その1
  • 著名メーカーのNASその2
  • スマートテレビ
  • 衛星放送受信機
  • インターネットプロバイダーのルーター
  • プリンター

「ハッキング」が成功したと見なすのは、以下のいずれかを達成した場合としました。

  • デバイスにアクセスできる。たとえば、ネットワークストレージデバイス上のファイルにアクセスできるなど
  • デバイスの管理者アクセス権限を取得する
  • 好きなようにデバイスを改変したり変更を加えたりできる(バックドアを仕掛けるなど)

調査の開始前に、私はデバイス全部のファームウェアを最新バージョンに更新しました。そのとき判明したのですが、自動更新システムに対応していないデバイスがあり、そのためにかなり面倒な作業になりました。もう1つわかったのは、ほとんどの製品が、1年以上前に製造中止になっていた、または更新が提供すらされていなかった、という興味深い事実です。

ハッキング開始

ネットワークストレージデバイスを調べたところ、一番強力な管理者権限を使ってシステムコマンドをリモート実行できる脆弱性を14件以上発見しました。ストレージデバイスは2つとも、Webインターフェイスがぜい弱だったうえに、デバイス上のローカルセキュリティも非常にお粗末なものでした。パスワードも大変弱く、多くの構成ファイルには誤ったパーミッションが設定されており、しかもパスワードは平文で保存されていました。デバイスの詳細なハッキング結果は、もっと詳しく解説したSecurelistの記事をご覧ください。

さらに、ほかのデバイスでは「隠し」機能が見つかりました。その1つが、インターネットプロバイダーから提供されたDSLルーターです。そこには、アクセスできない機能が山ほど隠されていました。どうやらインターネットプロバイダー(またはベンダー)はこのデバイスを「完全に制御」でき、好きなように操作し、私にはアクセス権限のない機能を全部使用できるようです。ある「隠し」機能は、名前から判断するかぎり、プロバイダーがトンネルを作成してネットワーク上にあるデバイスへアクセスできるようにする機能のようです。こうした機能が悪意ある人物の手に渡ったら、どうなるでしょうか?おそらくプロバイダーが技術サポートのために用意した機能だとは思いますが、管理者アカウントで自分のデバイスにログインしたにもかかわらず、完全に制御できないというのは、なかなか怖いことです。特に、「Webカメラ」「テレフォニーエキスパート設定」「アクセス管理」「WAN検出」「更新」といった、結構ゾクッとする名称の機能もあるので、なおさらです。

Untitled6

現在、機能の詳細を調べるために、調査を継続中です。また何か面白い事実を発見したら、別の記事で紹介します。

続いてスマートテレビとメディアプレイヤーですが、これらのハッキングには少し想像力を使いました。自分が攻撃者だと想定してみたのです。2台のNASデバイスをハッキングした今、次は何ができるだろう?メディアプレイヤーは十中八九、(すでにハッキング済みの)NASデバイスから情報を読み取っています。最初はスマートテレビとDVDプレイヤーにコード実行の脆弱性がないか調べていましたが、これを買うのにかかったお金のことを考えると、これ以上深くは調査できませんでした。買ったばかりのLEDスマートテレビを壊してしまったら、お金を無駄にするだけの話では済みません。テレビを壊した理由を子供たちにどうやって説明したらいいのか、見当もつかなかったのです。お気に入りのアニメも見られなくなってしまうのですから。しかし、このスマートテレビに1つ、セキュリティ上の興味深い問題を見つけました。メインのセットアップメニューにアクセスしたとき、テレビがネットワークに接続されていれば、サムネイルやウィジェットがベンダーのサーバーからダウンロードされます。ダウンロードするとき、テレビ側で認証も暗号化も行われませんでした。つまり、攻撃者がテレビに対して中間者攻撃を仕掛け、管理用インターフェイス上の画像を変更できる、ということです。また、テレビにJavaScriptファイルをダウンロードすることもできます。これはあまりよろしくありません。たとえば、JavaScriptを使ってデバイスからローカルのファイルを読み込み、ファイルの内容からさらにぜい弱な部分を探すこともできるわけです。この脆弱性については、ベンダーと協力しながら、実行可能かどうかを調査中です。なお、この攻撃の概念実証として、ウィジェットのサムネイルをみんなの大好きな「ボラット」(モキュメンタリーのコメディ映画の主人公)に変えてみたので、ご覧ください。

Untitled5

結論

この記事では、テレビ、NAS、DSLルーターのベンダー名を意図的に挙げませんでした。また、この調査の目的は、これまで発見されなかった脆弱性を見つけたと自慢したり、ホームエンターテインメント製品群に重大なセキュリティ問題があることを指摘したりすることではありません。脆弱性はこれからも常に存在しますし、私たちはそのことを理解する必要があります。といっても、理解するということは、受け入れるという意味ではありません。みなさんに伝えたいのは、こうした問題に何らかの対策をしなければならないということです。どのような影響があるかを知り、自宅のデバイスはハッキングされる可能性がある、またはすでにハッキングされているかもしれないことを心に留めておくことが重要なのです。製品には脆弱性が存在し、攻撃者は侵入を試みて、成功する可能性もあるのだと考えなければなりません。

調査のまとめとしてお伝えしたいのは、私たち個人はもちろんのこと、企業もまた、ネットワークデバイスのリスクを理解する必要があるということです。また、強力なパスワードを設定している、または不正なコードを防ぐ製品を使用しているからといって、情報が安全とは限りません。私たちの身の回りには自分で制御できないものが数多く存在し、ソフトウェアベンダーやハードウェアベンダーの管理下にあることも理解する必要があります。安全だと思われたデバイス上に極めて深刻な脆弱性があるとわかるまで、20分もかかりませんでした。私たちはそのデバイスを信頼し、盗まれては困る情報をすべて保存しているのです。

個人や企業がこうしたデバイスのセキュリティを強化するための、新たなソリューションが必要です。何かの製品やセキュリティパッチをインストールすれば修正できるような、単純な問題ではありません。そこで、この記事の最後に、次のメッセージをお伝えしたいと思います。ホームエンターテインメント業界はセキュリティをあまり重視していないかもしれませんが、Kaspersky Labは真剣に取り組んでおり、ちょっとした工夫でセキュリティのレベルを少し向上できると考えています。何社かのデバイスベンダーがこの調査結果を読み、ソフトウェアのセキュリティ改善に取り組んでくれることを心から願っています。それが実現するまで、今できる簡単な対策をいくつか紹介しましょう。

  • すべてのデバイスに、最新のセキュリティ更新とファームウェア更新を適用してください。ホームデバイス、企業向けデバイス、エンターテインメントデバイスでは、これを簡単にできないものも多いのですが、既知の脆弱性に翻弄されるのを回避するのに最善の策です。また、適用の過程で、そもそもインストールできるような更新が存在するかどうかがわかりますし、製造中止になった製品かどうかも判明します。
  • 既定のユーザー名とパスワードは必ず変更してください。これは、デバイスへの攻撃の際に、まず狙われるポイントです。衛星放送受信機やネットワークハードドライブのような「スマートでない」デバイスであっても、管理用インターフェイスには重大な脆弱性がありがちなので、注意しましょう。
  • 暗号化を活用しましょう。ネットワークストレージデバイスにファイルを保存するときも、暗号化してください。暗号化ツールを利用できない場合は、圧縮ファイルにパスワード保護をかけるだけでも構いません。何もしないよりは、ずっといいでしょう。
  • たいていの家庭用ルーターやスイッチでは、異なるDMZ/VLANをいくつか設定できます。つまり、ネットワークデバイス用の「プライベート」ネットワークを設定できるのです。設定することで、そのデバイスへのネットワークアクセスを制限できます。
  • 常識に基づいて行動し、すべてのものがハッキングの対象であるということを理解してください。みなさんのハードウェアデバイスすらもハッキング対象なのです。

それでも心配な方は、こうしたデバイスの発信ネットワークトラフィックを監視し、何か怪しい通信をしていないかを確認するといいでしょう。ただし、これには技術的な知識がある程度必要です。もう1つお勧めの対策は、本来デバイスがアクセスする必要のないサイトに対してアクセス制限をかけ、更新のダウンロード以外は何もさせないことです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?