NOTICEもこうした漏えい情報を元に、再設計すると検出効果が高くなるかも知れません。
www.zdnet.com
ハッカーは今週、515,000台を超えるサーバー、ホームルーター、IoT(モノのインターネット)「スマート」デバイスのTelnet資格情報の膨大なリストを公開しました。
人気のあるハッキングフォーラムで公開されたリストには、各デバイスのIPアドレスと、Telnetサービス(インターネット経由でデバイスを制御するために使用できるリモートアクセスプロトコル)のユーザー名とパスワード が含まれています。
今週ZDNetが話した専門家によると、リーク者自身からの声明によると、リストはTelnetポートを公開しているデバイスについてインターネット全体をスキャンすることにより編集されました。その後、ハッカーは(1)工場で設定されたデフォルトのユーザー名とパスワード、または(2)カスタムだが推測しやすいパスワードの組み合わせを使用しようとしました。
「ボットリスト」と呼ばれるこれらのタイプのリストは、IoTボットネット操作の一般的なコンポーネントです。ハッカーはインターネットをスキャンしてボットリストを作成し、それらを使用してデバイスに接続し、マルウェアをインストールします。
これらのリストは通常プライベートに保たれますが、 2017年8月に漏洩した33,000のホームルーターTelnet資格情報のリストなど、過去にオンラインで漏洩したものもあり ます。
DDOSサービスオペレーターによって漏洩したデータ
以下のようZDNetのは理解して、リストがDDoS攻撃-FOR-レンタル(DDoS攻撃の起動プログラム)サービスのメンテナでオンライン公開されました。
(ZDnet記事より引用)※機械翻訳
◆キタきつねの所感
記事を書いている時点(1/26)で、まだ日本語化記事が出てない様なので、取り上げてみます。リスト自体は一般公開されていませんが、その一部が記事に掲載されていましたので画像を引用しますと、
root、Admin、defalut・・・よくありそうなIDとパスの組み合わせが多数掲載されています。元リストにはマスキングされてますが、IPアドレスも載っている訳ですので、もしリストの情報が正しければ、IoT機器を乗っ取りBOT端末化する事は容易にできそうです。
とは言え、既に公開されてしまったリストですので、多くの掲載IoT機器は既に誰かが有効にBOT化して、パスワード変更した可能性もある訳です。こうしたIoT機器は、BinaryEdgeやShodanなどのIoT検索エンジンを利用する事で探すことができる訳ですが、ZDnetは一部の機器が実在(ISPのネットワーク管理下又はクラウド上に)することを確認した様です。
つまり、このリストは実際に使えそうであったと事を示唆します。
ISP等にもZDNetから連絡がされた様ですので、BOT化された端末も正常化の方向に向かうのかと思いますが、同じ様な脆弱性を抱えるIoT機器は、残念ながら日本も多数存在している事が、NICTERの活動などからも明らかです。今夏の東京五輪に向けてBOT化された端末を通じてのDDoS攻撃が激しくなる可能性が高いと言われていますので、意図しない攻撃加害者にならない様に、自組織、あるいは個人の管理下のIoT機器のセキュリティ設定(特にIDとパスワード)について今一度見直すべき時期かと思います。
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
