警察庁は26日、SNMPに対応したネットワーク機器をDDoS攻撃の踏み台に悪用しようとする攻撃が増加しているとして注意を呼びかけた。一部の家庭用ルーターや無線LAN親機などが悪用されるおそれがある。
特定の相手に大量のデータを送り付けるなどして負荷を高め、サービスを妨害したりダウンさせたりする攻撃のことをDoS(Denial of Service:サービス拒否)といい、複数の攻撃元から一斉に行うDoSをDDoS(Distributed DoS:分散DoS)という。警察庁の発表によると、このDDoS攻撃を行うために、インターネットに接続されたSNMP対応機器を悪用しようとする兆候が、10月中旬頃から観測されているという。
■SNMPとは
SNMP(Simple Network Management Protocol:ネットワーク管理プロトコル)は、ネットワーク機器をリモート管理するための仕組みのこと。一部のネットワーク対応のディスクドライブやプリンター、ルーター、無線LAN親機などがこの機能に対応しており、管理ソフトを使用して機器の監視や設定などが行えるようになっている。
■SNMPリフレクター攻撃とは
SNMPのバージョン2(SNMPv2)からサポートされた機能に、複数の管理情報をまとめて取得する「GetBulkRequest」と呼ばれるリクエストがある。このリクエストは、問い合せメッセージに対して約6倍という長い応答メッセージを返す。送信元を偽装したリクエストを処理させれば、偽装した送信元宛てに増幅された応答メッセージが送られるので、特定の相手(偽装した送信元)を効率よく攻撃することができる。
これを悪用し、応答の送信先に高負荷をかけてサービス不能に追い込むDDoS攻撃のことを、「アンプ攻撃」とか「リフレクター攻撃」と呼んでおり、警察庁では、SNMPリフレクター攻撃の踏み台にするための機器選定が行われているのではないかと見ている。
■踏み台にされる条件と対策
SNMPリフレクター攻撃の踏み台にされる可能性があるのは、SNMPv2対応機器が直接インターネットに接続されている場合、インターネットに接続したSNMPv2対応のルーターや無線LANの親機が、インターネット側からのSNMPリクエストを受け入れてしまう場合だ。
該当機器がある場合には、踏み台にならないように次のような対策を検討していただきたい。
(1) 対応機器はインターネット回線に直結せず、ルーターを介して接続する
(2) SNMPv2を使用していない場合は、無効にする
(3) 初期値のコミュニティ名(「public」等)を変更する
(1) は、外部からのSNMP通信を遮断する方法だ。ルーターやルーター機能を持つ無線LAN親機を介してインターネットに接続すると、これら機器が備えるファイアーウォール機能によって外部からのリクエストが遮断されるので、踏み台にできなくなる。
(2) は無効にできない機器もあるが、ブラウザベースの管理画面が用意され、無効に設定できるようであれば、使用していない機能はできるだけ無効にしておく。
(3) の「コミュニティ名」は、SNMPで対象機器をグルーピングするためのもの。SNMP通信は、コミュニティ名を指定して行うのだが、初期値に「public」が設定されていることが多く、警察庁の観測でも「public」指定でアクセスが行われているという。管理画面の初期パスワードなどもそうだが、秘匿が望ましいものは、初期値を推測されないものに変更してから使うよう心がけたい。
(2014/11/27 ネットセキュリティニュース)
【関連URL】
・SNMPリフレクター攻撃に対する注意喚起について[PDF](警察庁)
http://www.npa.go.jp/cyberpolice/detect/pdf/20141126.pdf