無線LANルーターの“ぜい弱性”事件簿

MarkJosephEdwards

2004.07.13

（Mark Joseph Edwards）

ベンダーのミスがぜい弱性を招く
　ソフトとハードをある決まったやり方で稼働するように設定したとしよう。あなたはそれが実際に設定したように動くかどうかをどうやって調べるだろうか？　開発元がきちんと作っていると信頼できるのだろうか？　残念ながら，信頼できないことがあり，ベンダーとはいえ，われわれと同じようにミスをすることだってあるのだ。

事件その1：
管理画面がインターネットから見えてしまう
　そのよい例が，セキュリティ関連のメーリング・リストBugtraqに登場した。米Cisco Systemsの1部門である米Linksysの無線ルーター「WRT54G」のうちのいくつかが，ある条件下で管理者向けのインターフェースをWAN（広域エリア・ネットワーク）側（インターネット側）からのアクセスで表示してしまうという不具合を，ある研究者が見つけた。

　そのルーターの不具合は，たとえ遠隔管理できないように設定されていてもダメだという。だからもし遠隔管理を無効にして，ルーターをインターネットにつなげていた場合，管理用のインターフェースは使えないと思っていると，ハッカーが侵入してくる可能性がある。数分かけてWAN側からルーターを調べてみれば，その管理用インターフェースが無効にされているはずなのに，まだ応答するかどうかはチェックできる。

速やかにファームウエアを修正版にアップグレード
ファイアウオールも考慮すると万全
　Linksysは，問題を修正するために，WRT54G用ファームウエアの新しいベータ版をリリースした。このデバイスを使うのなら，そのベータ版のファームウエアをロードしたほうがいい（該当サイト）。

　さらに，無線ルーターはファイアウオールの後ろに設置することをお勧めする。たとえそのルーターがファイアウオールを内蔵していても，システムの一部を予期せず外部にさらしたり，望まないアクセスを最小限にするのに役立つはずだ。

事件その2：
隠し管理者アカウントが埋め込んであった
　Bugtraqには，ほかの無線ルーターとして米NETGEARの「WG602」に関する興味深い例も登場した。NETGEARは，なんらかの理由で明文化されていない管理者アカウントをルーターのファームウエアに埋め込んでいたのだ。

　このアカウントは無効にできるが，そのルーターのLAN側とWAN側の両方からアクセス可能であり，研究者なら簡単に発見できるプレーン・テキストのログオン名とパスワードが付けられていた。このルーターを使うユーザーは，だれでも攻撃を受けやすいのである。もし，このルーターを管理用インターフェースへのアクセスをブロックするため，他のファイアウオールの背後に置いていれば，最低限外側からの攻撃に対しては防御される。しかし，ローカル・ネットワークにいる認証を受けないユーザーがそのルーターへログオンすることはできてしまう。

設定を信用せず，必ず動作確認する
　Linksysのルーターの弱点は見たところではプログラミングのミスから生じたもので，修正されたようだ。しかし，NETGEARがなぜ明文化されていない管理者アカウントを実装したのだろう。多分置き忘れられたのだろう。明らかことは，製品のセキュリティを信用するべきじゃないということだ。それらが予想通りに動いているかどうか，きちんと確認したほうがいいだろう。

APの背後にもファイアウオールを置く
　ファイアウオールの背後にAPを設置するだけでは，まだ不十分な可能性がある。ご存知のように，無線のプロトコルはいろいろな攻撃の被害を受けやすい。APの性質として，あなたの作業環境外のユーザーに対しても，アクセスを許しやすい。もし，APが実質的に信頼するネットワーク内にあって，追加の障壁を設置していないのなら，侵入者はあなたのAPに接続すると，信頼するネットワークの内側にいるのと同じことになる。あなたがその大きく開いた穴を放置しておくことはないだろう。

VPNそしてRADIUSを使おう
　そこで次のような対策をお勧めしたい。既に述べたAPと外部ネットワークの間にファイアウオールをかませるだけでなく，APの背後にもファイアウオールを設置するべきなのだ。そういう構成で，無線LANのクライアントがプライベート・ネットワーク内のリソースにアクセスできるよう，ネットワークにトンネル接続するために，VPN（仮想プライベート・ネットワーク）のようなものを使えるはずだ。そうすれば，もし侵入者があなたのAPに接続しても，あなたのネットワーク全体に入り込むことはできなくなるだろう。

　あるいは，もしあなたの環境がRemote Authentication Dial-In User Service（RADIUS）を使っているなら，RADIUSを使ってルーティング制限をAPに伝えるよう設定するとよいだろう。

　またあるビジネス・パートナが，あなたのAPに接続することがあるなら，RADIUSは内側のネットワークにではなく，外側のインターネットにだけ，アクセスを許可するように，ルーティング制限をAPへ渡せる。