米シマンテックは2008年1月21日(米国時間)、ユニバーサル・プラグアンドプレイ(UPnP)対応のネットワーク機器を狙う新たな攻撃が公表されたとして注意を呼びかけた。例えば、細工が施されたFlashファイル(SWFファイル)が置かれたWebサイトにWebブラウザーでアクセスするだけで、そのユーザーが使用しているブロードバンドルーターなどの設定が変更される恐れがあるという。
ほとんどのブロードバンドルーターは、設定変更のためにWebインターフェースを用意。ユーザーがWebブラウザーを使ってアクセスし、ユーザー名とパスワードを入力すれば設定を変更できる。
UPnP対応ルーターの場合、Webブラウザーからの通信だけではなく、「SOAP」というプロトコルを使った通信でも設定変更が可能。しかもこの場合、ブロードバンドルーターの多くは、パスワードによるユーザー認証をしなくても、設定が変更できるという。
これを悪用したのが、今回報告された攻撃である。SOAPを使って通信できるファイル形式なら何でも悪用できる。例として挙げられているのは、広く使用されているFlashファイル。攻撃者は、「ブロードバンドルーターに設定変更のデータ(XML)を送信するFlashファイル」を作成してWebページに置く。Flash PlayerのプラグインをインストールしたWebブラウザーで、ユーザーがそのWebページにアクセスすると、そのFlashファイルが読み込まれ、設定変更のデータがブロードバンドルーターに送信される。
この攻撃手法は、「GNUCITIZEN」というグループによって2008年1月12日に公表されたもの。それを受けて、セキュリティ組織の米US-CERTなどは1月14日に注意喚起している。シマンテックでは、同攻撃について解析。その結果、この攻撃手法は強力で、かつ広く知られているとして、影響が非常に大きいと判断。今回、改めて警告した。
シマンテックでは、この手法を使った実際の攻撃は確認していないとしながらも、もしこの攻撃が出回るようになったら、深刻な事態を招くだろうと結んでいる。
なお対策としては、US-CERTでは「ブロードバンドルーターなどのUPnP機能を無効にする」ことを挙げている。ただしその場合には、UPnPを使っているアプリケーションは利用できなくなる。
