第16回見逃しやすいIoT機器の脆弱性

LTE対応IoTルーターの改ざん被害

2023年8月28日、日本国内のインターネットのルーター機器がハッキングされ、管理サイトに入るためのログイン画面が改ざんされるという被害がありました。改ざんされた画面は背景が白から黒に変更され、東京電力福島第一原子力発電所の処理水放出に抗議するメッセージが赤文字で表示されていたそうです。このルーター機器はセイコーソリューションズ社製のLTE対応IoTルーター「SkyBridge」シリーズで、その脆弱性を利用して攻撃したものとみられます。

8月30日には1,500台ものルーター機器が被害に遭ったと報道されていましたが、筆者がインターネット上で調査してみると、執筆時（2023年9月25日）でもまだ1,100台近くが改ざんされたままの状態で運用されていると確認できました。

脆弱性をどう悪用できるのか

開発元の情報（https://www.seiko-sol.co.jp/archives/78347/）によると、主に下記の脆弱性があったようです。

• ログイン画面の初期パスワードが単純なため解読可能
• ログイン認証なしにWeb設定コマンドの直接実行が可能

改ざん事件の被害としては、ログインページが書き換えられただけのようにもみえます。しかし、これらの脆弱性を利用すると、ルーター機器の管理者権限でさまざまな操作が可能になるかもしれません。例えば、設定を変更してインターネット側から内部ネットワークへ侵入したり、ファームウェアの書き換えによってマルウェアを仕込んだりといった攻撃も考えられます。

悪用したと考えられる脆弱性の攻撃コードもSNS上で公開されているため、今後は改ざんされる以上の被害が発生する可能性もあります。もし当該機器（「SkyBridge」や同社製「SkySpider」）を使っている場合には、ファームウェアのアップデートやパスワード変更などの対策が必要ですので、至急対応してください。

IoT機器は攻撃者の入口になり得る

ルーターはインターネット接続に利用されるものだと広く知られているので、脆弱性があると内部ネットワークへの侵入につながるというイメージが湧きやすいと思います。ほかにも、個人向けのスマートフォンから確認できるホームカメラや、スマートホームに使われる家電や住宅設備、AIスピーカー。法人向けなら監視カメラや産業ロボット、各種センサといったIoT機器など、インターネットに接続できるものは侵入につながる可能性があります。

本連載の第4回「VPNへの不正アクセスはプライベートネットワークへの道」で紹介したVPN装置も、IoT機器の一つです。

特に管理者用のログイン画面や利用者向けの画面などにインターネット側から接続できるものは、脆弱性をそのままにしたり、初期設定のままの弱いパスワードを使ったりしていると、不正アクセスされる可能性が高くなります。不正アクセスされることによって、IoT機器自体に侵入されてしまう以外に、社内の内部ネットワークへ侵入されて機密情報を奪取されたり、ランサムウェアに感染させられたりする恐れが生じます。

乗っ取ったIoT機器を踏み台にした攻撃

IoT機器に関する有名な事件として、2016年9月に著名なセキュリティブログが大量のパケットを送り込むDDoS攻撃の被害に遭った例があります。DDoS攻撃によって大量のアクセスを受けたことで、このブログには正常なアクセスを行うことができなくなりました。

これは「Mirai」と呼ばれるマルウェアによって約18万台のIoT機器が乗っ取られたことが原因で、それを踏み台にして665Gbpsもの帯域を使ったDDoS攻撃が行われました。攻撃元になったIoT機器の管理者は、まさか自分のIoT機器が他者に攻撃したとは思ってもいないことでしょう。

IoT機器にも資産管理や脆弱性管理は必要

コンピュータやソフトウェアのアップデート、セキュリティ対策はしているけれども、IoT機器まで気が回らず管理が手薄になっているという状況をしばしば見かけます。導入したときに設置したまま、まったくメンテナンスをしていないIoT機器などが放置されている状況を、攻撃者は見逃しません。

IoT機器といっても中身はコンピュータであり、ソフトウェアが動作してネットワークに接続しています。コンピュータと同じように資産管理や脆弱性管理の対象となることを知っておきましょう。自社にどういったIoT機器があるかわからない、もしくは対応の必要があるのか不安な場合には、保守を委託している事業者に確認するか、IoT機器の脆弱性診断サービスを提供している会社などに相談してみましょう。

（「SKYSEA Client View NEWS Vol.93」 2023年11月掲載）