IoTがMalwareに感染の予兆
去年の10月24日にFCCJにてNetAgency社の杉浦会長の記者会見があり、ここでも報告した。
さて、記憶に新しいなか、WannaCryと言うワームが横行し大勢の人たちを大変な状態に陥れた。
これはWindowsのSMBポートを介して繁殖するタイプのワームで1台が感染すると次の感染先を探す能力を持っていた。
偶然にも、Kill Switchが発見されて収まったが、すぐ後に亜種が発見された。
さて、今日の記事だが未だに550万台のデバイスが無防備だと。
この数字をどう弾き出したかは不明。
http://news.mynavi.jp/news/2017/06/15/256/
Rapid7は2016年の段階で460万のデバイスがSMBポートを公開した状態でインターネットに接続していたと指摘。同様の調査を実施したところ、2017年には550万台のデバイスがSMBポートをオープンにした状態でインターネットに接続していると指摘しており、1年が経過して状況が悪化していることが示されている。
さて、このSMBポートは135と445がある。NETBEUIが135〜139を利用してSAMBAなどが作動する。
Win 95/98/MEでは135,137,139だけをカバーしておけばよかったが2Kから445も閉じておかないといけなくなった。
その脆弱性をカバーするパッチはすでに今年の3月にMSがWin XP含むOSに提供していた。
しかし多くがそれを導入していなかったがためにWannaCryみたいなものにやられてしまった。
このポート、通常ダイレクト・ホスティングSMBと呼ばれ、TCP/UDPの両方で使われており、SMBをTCP/IP上で利用するために活用されている。
そして、この記者会見ではあまり心配はないと言われながら、IoTにてHAJIME/MIRAIワームが出現した。
これはデフォでTelnet 23番ポートが開きっぱなしで、更にパスワードが(Raspberry Piなどの場合 raspberrry のままだったり)単純だったりしてクラックされやすい状態で導入されて多くのIoTデバイスが一網打尽になってしまった。
私が言いたいのは、プロでも目測を誤る。
ましてセキュリティに関してはリスク管理が大切であり、クライシス管理(起きてからの処置)ではない。