［米国］
D-Link製ルータへの攻撃はボットの仕業――シマンテックが示唆

TCPポート23をスキャンしてSNMPサービスを悪用

（2008年03月26日）

　米国Symantecのセキュリティ研究者は3月25日、台湾D-Linkのルータに端を発する疑わしきポート・スキャニングがボットの仕業である可能性を示唆した。研究者らは、この人気ブランドのルータが抱える3年来の脆弱性を悪用するボットの存在が否定できないとしている。

　Symantecは24日夜、同社のDeepSight脅威通知サービスの顧客に向けて、「（すでにユーザーの間に広まっている）ワームまたはボットがD-Link製ルータを攻撃し、自身をそれにインストールしているとの信頼できる情報がある」との警告を発した。

　しかし同社は、25日になって警告内容を一部修正した。同社セキュリティ・レスポンス・チーム担当ディレクターのオリバー・フリードリックス（Oliver Friedrichs）氏は、誤解を招くような表現を使ったことを陳謝したうえでこう述べた。「（ボットの存在は）現時点では未確認だ。しかし、われわれは攻撃活動の増加を間違いなく確認しており、その活動はほかのD-Linkデバイスに端を発するように見受けられる」

　換言すれば、Symantecの研究者はワームやボットのサンプルを捕獲してはいないものの、すべての状況証拠はその存在を示しているということだ。Friedrichs氏も、「われわれはボットだと推測している」と述べている。

　D-Linkルータへの攻撃は、ハッカーがTCPポート23をスキャンしてアクティブなSNMP（Simple Network Management Protocol）サービスを探すことから始まる。2005年に初めて発見されたD-Linkルータのファームウェアの欠陥を利用するのである。

　「攻撃者は、SNMPサービスの脆弱性を突いてルータの管理者パスワードをリセットしたり、再設定したりしているようだ。これはおそらく、ルータの設定を変更し、ユーザーを密かに悪質なWebサイトに導くドライブバイ・ファーミングを行うためと思われる」（Friedrichs氏）

　ルータの脆弱性は増加しており、それに合わせてルータに対する攻撃――特に無線ネットワークの構築に用いられるデバイスへの攻撃――も増える傾向にある。「攻撃者は、（マルウェアをインストールして隠す新たな場所を求めて）デスクトップの向こう側にますます注目しているようだ」とFriedrichs氏は言う。

　ルータのハッキングに関する研究で知られる英国在住の侵入テスター、ペトコ・ペトコフ（Petko Petkof）氏は、ポート23をインターネット側に開放することは一般的によくないとしながらも、Ethernetポートが1つしかないなどの理由でユーザーは開放せざるをえないのだろうと推測する。

　Petkov氏はSymantecの警告に驚きを示さなかったという。「われわれがこれまでにテストした組み込みデバイスは、いずれも興味深い脆弱性を抱えていたので、（攻撃されたとしても）まったく驚かない」と、同氏は電子メールに記している。

　Petkov氏によると、ワームやボットのトロイの木馬を作成することも、さほど難しくはないという。「ルータに攻撃を仕掛けるようなワームのコードなら、だれでもかなり簡単に書ける。大多数の研究情報は公開されているので、パズルのピースを組み合わせるだけだ」（Petkov氏）

　D-Link製ルータを対象にしたTCPポート23のスキャニング活動を、Friedrichs氏は「moderate（中程度）」と評し、Symantecのセキュリティ研究者らが引き続き調査を行うとしている。しかし、この脆弱性の修正の有無、修正されているならその時期、D-Link製ルータのどのモデルが危険にさらされているかについて、Friedrichs氏とそのチームは現時点では確認できていないとのことだ。

　Computerworld米国版ではD-Linkの幹部に電話でコメントを求めたが、回答は得られなかった。

　Friedrichs氏は、D-Link製ルータのオーナーに対し、SNMPサービスをインターネットに公開しない措置を当面講じるようアドバイスしている。

(Gregg Keizer／Computerworld米国版)