情報処理推進機構(IPA)と、JPCERTコーディネーションセンター(JPCERT/CC)は19日、複数のブロードバンドルーターに問題があり、DDoS(分散サービス不能)攻撃に加担してしまう可能性があることを明らかにした。該当機種には、一部のWiMAX製品が含まれており、最新のファームウェアへのアップデートが望まれる。
現時点で該当製品が確認されているのは、調査中の日本電気を含む5社の製品。多くは、一般家庭で使用する製品ではないが、WiMAX製品を供給しているシンセイコーポレーションの製品に関しては、利用されている方も多いだろう。同社では、この脆弱性に関してすでに対応済みとしており、ソフトウェアを更新するよう勧めている。該当製品の機種名は不明だが、セキュリティを向上するための最新のアップデートが9月5日に実施されているので、未適用の方は最新版への更新をお勧めする。
一部機種を除く同社の製品は、最新版のチェックとアップデートを行う機能を備えている。Webブラウザを使って製品のWeb設定画面を開き、[システム管理]または[アドミニストレーション]を選択。自動アップデートの[アップデート実行]ボタンを押すと、チェックと更新が自動的に行われる。なおアップデートの適用時には、インターネット回線が一時不通になるので注意していただきたい。
■DDoS攻撃に加担してしまうルーターの問題とは
今回の問題は、ルーターが備えるDNSがオープンリゾルバーとして機能してしまうことに起因する。「ルーター」「DNS」「オープンリゾルバー」について説明する。
ルーターは、家庭内のネットワークとインターネット回線との間に設置し、両者間の通信を中継する機器のこと。無線LANの親機の機能を備えた機器や、複数のLANポートを備えた機器を介してインターネット回線に接続している場合には、その機器がルーター機能を備えている。端末を無線LANで接続するWiMAX製品もこれに該当する。
DNS(Domain Name System)は、URLなどに使われている「www.so-net.ne.jp」という文字列のホスト名を、実際の通信で使用する、数値のIPアドレスに変換する名前解決の仕組みのことで、家庭向けのルーター製品にも、この機能の一部搭載したものがある。たいていは、内部の端末からの問い合わせに対して名前を解決する「リゾルバー」と呼ばれる機能のみを提供しており、プロバイダーのDNSへの中継と応答の一時保存(キャッシュ)機能に限定されていることから、「簡易DNS」とか「DNSプロキシ」と呼ぶこともある。
家庭向けルーターのリゾルバーは、通常、家庭内のネットワーク側からの問い合わせにのみ応答する内部専用のものであるのに対し、外部のインターネット側からの問い合わせに応答するものを「オープンリゾルバー」という。このオープンリゾルバーが、送信元を偽装した問合せを処理してしまうと、偽装された送信元に対して応答を返してしまう問題が発生する。これを悪用し、応答の送信先に過負荷をかけ、サービス不能に追い込もうとするDDoS攻撃のことを、「DNSリフレクター攻撃」あるいは「DNSアンプ攻撃」と呼んでいる。リフレクターはリゾルバーが応答を反射する様子を、アンプは小さな問合せパケットが大きな応答パケットに増幅される様子を表した名前だ。
今年3月中旬から下旬にかけ大規模なDDoS攻撃が行われ、一部の地域では、インターネットが利用しにくくなるほどの通信障害が発生した。この攻撃では、今回のようなオープンリゾルバーが悪用されていたことが判明している。問題のルーターを修正しないままインターネットに接続していると、同種の攻撃の踏み台に悪用されてしまうおそれがある。
(2013/09/24 ネットセキュリティニュース)
【関連URL】
・JVN#62507275複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題(JVN)
http://jvn.jp/jp/JVN62507275/index.html
・URoadシリーズ アップデートのお知らせ(シンセイコーポレーション)
http://www.shinseicorp.com/wimax/news/130905_01.shtml