ネットに接続しているIoTデバイスやルーター、FTPサーバー、スイッチなど、さまざまな機器の情報を検索できる「SHODAN」というエンジンが存在する。機器が、OSやソフトウェアの名前、バージョン情報をネットから参照できる状態で放置していると、この検索エンジンがインデックス化する。

トレンドマイクロは今年3月から6月にかけ、一部都府県を対象に、ネットワークインフラがどれほど外部に晒されているのか、このSHODANの協力のもとに調査した。もしSHODANで重要インフラが見つかった場合、悪意ある攻撃や破壊活動、システムの乗っ取りといった深刻なセキュリティリスクにつながる恐れがあるためだ。

同社はオープンソースの全文検索エンジン「Elasticsearch」を活用して、通常のSHODANで利用できる41のフィルターよりも幅広い550以上のセグメントでデータ解析を行った。対象地域は東京と埼玉、神奈川、名古屋、大阪の5都府県となる。

データベースで個人情報が検索できる状態になっているケースも

トレンドマイクロがSHODANから抜き出したさまざまなデータは、都府県によって意外な傾向を導き出している。

例えば外部に公開されているサービス/プロトコルでは、東京と大阪、愛知、埼玉の1位がHTTPであったのに対して、神奈川県のみがNTP(Network Time Protocol)だった。NTPは機器同士が接続する際に正しい時間で同期するためのプロトコルだが、神奈川県のNTPの割合が圧倒的に高かった。

外部公開されているデバイス別の割合では、東京と大阪でファイアウォールが過半数を占めた。特に大阪は85.7%がファイアウォールと、諸外国の都市と比較しても高い割合を占めており、トレンドマイクロ スレットリサーチャーのスティーブン・ヒルト氏は「日本はファイアウォールによってよく守られているが、特に大阪はアメリカとの比較でかなり高い印象を持つ。シリコンバレーのサンノゼは、かなり低い数字であり、日本のセキュリティ意識の高さが目につく」と高評価を与えていた。

外部に公開されているデバイス

ただ、ファイアウォール以外にも一定の割合を占めるデバイスがある。それが「Webカメラ」だ。SHODANで見つかったWebカメラの映像を報道陣向けに一部公開した上で、ヒルト氏は外部公開設定について、確認するように呼びかけていた。

また、ネットに公開された状態になっているシステムのOSでは、多くをLinuxが占める反面、かなりの割合でWindows XPが検出されていることもわかった。Windows XPは2014年にサポートを終了しており、OS脆弱性が修正されないためネットに接続している場合、非常に危険となる。また、OS上で動作するソフトウェアについても調査が行われており、その多くはWebサーバー・ソフトウェアのApacheなどが占めた。

外部に公開されているOS

問題となる点では、WebサービスやEメールサーバー以外にも、リモートアクセスサービスで公開されているものが危険だと指摘する。OpenSSHが圧倒的な割合の中で、3位に入った「Cisco router telnetd」は特に注意すべきポイントだとする。トレンドマイクロが確認したものの中には、Adminインタフェースが晒されているものもあり、管理者ID・パスワードが入力できてしまえば乗っ取られる可能性も考えられるという。

外部に公開されているリモートアクセスサービス

また、オープンソースで人気のDBである「MongoDB」も外部公開されているものがあり、トレンドマイクロの調査ではこれらのデータサイズの合計が15.73TBに及んでいた。データベースという性質上、検索クエリをかけやすくなっており、「医療データや生徒情報などの個人情報が見えやすくなっている。誰でもアクセスできる状態になっていることは望ましくない。MongoDBはデフォルトでユーザー認証が用意されていないため、注意が必要」(ヒルト氏)としていた。

これらの例は、氷山の一角に過ぎないとヒルト氏は話している。SHODANは研究者などが学術的にネットワークの探索を行う検索エンジンとして利用されているが、サイバー犯罪者は独自のボットネットなどでこれらの「ネットに接続している外部公開された脆弱性」を探索する。

脆弱性は、Webカメラなどのデバイスの特定から、OSやソフトウェアのバージョン情報の特定まで、幅広い分野で存在する。冒頭に触れたNTPサーバーの例では、送信元IPアドレスを偽装してリクエストを送信し、標的にDDoS攻撃を行う「NTPリフレクション攻撃」などもある。

ソフトウェアのバージョンなどで脆弱性を含んでいるか判別できる。これを検知されないためにも外部公開の設定を確認する必要がある

「今後は外部に晒されたIoTデバイスが増える」(ヒルト氏)との観測もあり、さまざまなデバイスがネットに接続することは、それだけボットネットによるDDoS攻撃や踏み台とされる可能性がある。「スマートフォンでケトルの温度を確認できるアプリがあるが、それは本当にリモートで確認する必要があるか(笑)」とヒルト氏が話すように、必要性のあるシステムを見極めた上で、ネットに接続する機器の設定をもう一度見直すように注意を促した。