Linuxベースのルーターで拡大する「Linux.Psybot」

2009.04.22

Symantec Security Response Weblog

「Linux.Psybot—Is Your Router Secure? 」より
March 27，2009　Posted by Ben Nahorney

　Linuxをよく知らない読者は，Linuxをネットワーク管理者や開発者，マニア専用のOSか何かだと思うかもしれない。ところが，扱う管理者/開発者/マニアたちはLinuxの多様性をいかし，何年もかけてあらゆるデバイスにLinuxを移植してきた。単に楽しむだけの目的で実施された移植もあるが（ハードウエア・マニアは「可能だから（移植した）」という行動をよくとる），日常的に使われるデバイスでLinuxを採用する例がゆっくりと増えている。現在Linuxは，携帯電話機からカメラ，パーソナル・ビデオ・レコーダ（PVR）まで，ありとあらゆるデバイスで利用されている。ガジェット・マニアでなくとも，Linux搭載デバイスをそれと知らずに使ったことがあるだろう。

　Linuxの利用拡大はオープンソース支持派にとってよいニュースである一方，ありがたくない注目を集めることにもつながる。これまで幾度となく目にしてきたように，ソフトウエアは人気が高まると，悪質なコードに狙われやすくなる。Linux関連だと，セキュリティ研究者たちはこの数カ月間，大規模なボットネット（我々は「Linux.Psybot」と名付けた）を徐々に構築しているらしい攻撃者の監視を続けている（関連情報：その1，その2）。今やLinuxを狙って作られた脅威は目新しいものでなく，ニュースにすらならない。しかし，Linux.Psybotを構築する今回の脅威には，現在も販売されているLinuxベースのルーターを標的にする，という特徴がある。

　この脅威は感染したパソコンにバックドアを作り，その後いろいろな悪事に加担させる。そう聞くと何やら恐ろしそうだ。もっとも，Linux.Psybotは全く珍しくない「解読されやすいパスワードに対するブルート・フォース（総当たり）攻撃」と「セキュリティ・ホールの悪用」という2種類の手口に頼っているに過ぎない。

　つまり，この攻撃は極めて簡単に防ぐことができる。パスワードの強度を高め，セキュリティ修正パッチを適用すればよい。ただし，一つ問題がある。多くのユーザーが（パソコンのOSアップデートを怠らないユーザーでさえも），普段はルーターなど管理しないのだ。管理用パスワードが初期設定のまま変えられていないルーターもあれば，パッチ適用が遅れ気味のルーターもある。

　この脅威に感染しているルーターは膨大な数に上り，設定も様々なので，総合的な保護手段は示しにくい。以下では，ルーター保護策をいくつか紹介する。これらの方法でうまくいかない場合は，ルーターのマニュアルかネットワーク管理者にあたって詳細を調べてほしい。

強力なパスワード

　Webブラウザを起動し，アドレスバーに「http://192.168.1.1/」または「http://192.168.0.1/」と入力する。たいていはこの操作でルーターの管理画面が現れ，管理者のユーザー名とパスワードを入力するよう求められる。ほとんどのルーターは初期ユーザー名/パスワードを持っており，変更しない限りそれが有効なまま，ということもある。以下に挙げた文字列を初期設定値とするルーターがあるので，試してみよう（パスワードが未設定のこともある）。

・root
・admin
・default
・password
・1234

　ログインに成功したら，安全性の高いパスワードに変更する。パスワード変更メニューの場所はルーターごとに違うが，簡単に見つかるはずだ。

ルーターへのパッチ適用

　ルーターの管理画面にログインしたままメニューを調べ，ファームウエア更新機能を探そう。現在市場に出回っているLinuxベースのルーターは，アップデート確認機能を持っている機種が多い。この機能の場所もルーターによって大きく異なるものの，すぐに実行できるだろう。実行後は，Webブラウザに表示される指示に従うだけだ（特殊なファームウエアを使っている場合には，該当プロジェクトのWebサイトでアップデートを確認しよう）。

遠隔管理機能の無効化

　この種の脅威からルーターを守るのに使えるもう一つの方法は，外部ネットワークからルーターにアクセスして管理する機能を無効化することだ。間違いなくLinux.Psybotは，他人のネットワークに外部接続して感染を広める能力を持っている。無効化すると内部ネットワークからのルーター管理画面にアクセスする際に制限が発生するが，管理作業に支障を来すことはまずない。パスワード変更やパッチ適用より複雑で手間のかかる作業なので，マニュアルやネットワーク管理者の助けが必要になるだろう。

ルーターのメモリー消去

　最後に，ルーターが感染してしまったと思ったら，ルーターをハード・リセットしてメモリーを消去しよう。これでルーターは工場出荷時の状態に戻る。ハード・リセットは，ルーターの裏側にあるボタンを押すだけで実行できることが多い。なお，ハード・リセットをするとこれまでに変更した設定がすべて失われてしまうから，事前に配慮しておくことが大切だ。ハード・リセットによって，今回のワームもろともあらゆる設定値が消える。作業手順に不安があるなら，マニュアルやネットワーク管理者に助けてもらおう。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Linux.Psybot—Is Your Router Secure? 」でお読みいただけます。