セキュリティベンダーや機関は先ごろ、細工したFlashムービーを使用してルーターの設定変更が行える問題があるとして、注意を呼びかけた。この問題はGNUCITIZENが先月14日に公表した、Flashからユニバーサルプラグ&プレイ(UPnP:Universal Plug and Play)のメッセージを送り、ルーターに設定変更を行うという手法の公開を受けたものだ。
UPnPは、さまざまな機器をネットワークに接続し連携して利用できるようにするための技術で、ネットワークに接続した機器の設定や制御を自動的に行えるようにするための仕組みを提供している。
挿しただけで利用できるプラグ&プレイ(PnP:Plug and Play)のネットワーク版にあたるもので、家庭内などの閉じた環境で設定不要のお手軽運用を実現することに主眼を置いているため、セキュリティ的なことはあまり考慮されていないという仕様上の問題がある。要求が来れば、通常はユーザー認証なしでいわれるがままに動作してしまうため、UPnP対応のルーターに設定変更のメッセージを送る(POST)ことさえできれば、ルーターを思いのままに操作できる。
UPnPはホームネットワークの内部でのみ機能しており、外部から直接UPnPのメッセージを送ることはできない。ところが、細工したFlashムービーを閲覧させることによって、本来ならばリモートから操作できないはずのUPnPのメッセージを、内部にいるユーザーのパソコンに送信させることができてしまうらしい。
メッセージの送り先、すなわちネットワーク内部のIPアドレスが分からないと攻撃は成立しないが、ルーターが初期設定のままならば、特定の機種を狙うことはたやすい。また、ホームネットワーク内部では、一般にプライベートIPアドレスとよばれる一定範囲のアドレスが使用され、ルーターは末尾が「1」や「254」を初期値にしていることが多いので、無差別な攻撃も成功する可能性が高い。
このUPnPの機能は、サポートしている機器ではディフォルトで有効になっており、JPCERT/CCなどは(UPnPが必要なければ)無効にするなどの方法を回避策にあげている。
1月19日にIPAが公表した「複数の組込み機器の組み合わせに関するセキュリティ調査報告書」では、情報家電やカーナビ、携帯電話などを連携して使用する際のセキュリティ課題の調査をまとめており、その冒頭でもこのプラグ&プレイに潜む脅威について述べている。
(2008/02/01 ネットセキュリティニュース)
■複数の組込み機器の組み合わせに関するセキュリティ調査報告書(IPA)
http://www.ipa.go.jp/security/fy19/reports/embedded/index.html
■複数のデバイスに UPnP に起因する脆弱性(JPCERT/CC)
http://www.jpcert.or.jp/wr/2008/wr080301.html#3
■Flashing Home Routers[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2008/01/flashing_home_routers.html
■VU#347812: UPnP enabled by default in multiple devices[英文](US-CERT)
http://www.kb.cert.org/vuls/id/347812
■Flash UPNP attack vector[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=3848
■Hacking The Interwebs[英文](GNUCITIZEN)
http://www.gnucitizen.org/blog/hacking-the-interwebs
■Flash UPnP Attack FAQ[英文](GNUCITIZEN)
http://www.gnucitizen.org/blog/flash-upnp-attack-faq