手軽に悪用されてしまう「SSDPリフレクター攻撃」!詳細や対策まで徹底紹介

そなえる

ネットで行われる攻撃にもトレンドがあり、2014年から大ブームとなった、「SSDPリフレクター攻撃」という手法です。なんだか、ロボットアニメやSF映画に出てきそうな名前ですが、恐るべき脅威となっているので笑い事ではありません。

この攻撃方法は、攻撃する側にとっては手軽に実行でき、利用できる無防備な機器が大量に存在するという、願ったりかなったりの状況になっていることから、大流行しているのです。今回は、このSSDPリフレクター攻撃の詳細と対策方法について解説していきます。

そもそもSSDPリフレクター攻撃とは?

SSDPリフレクター攻撃はDDoS攻撃の一種です。DDoS攻撃というのは、意図的に特定のネットワークやコンピュータに対して同時かつ大量に接続を試みさせて、通信容量をあふれさせ機能を停止させてしまう攻撃方法のことです。

SSDPリフレクター攻撃が使われるようになった理由は、一定の手順を踏むことで攻撃に使うデータ量を約30倍に増幅させて攻撃対象に送ることができことです。ターゲットに効率よく大きな負荷をかけることができるため、攻撃の主流になりつつあります。

UPnPに対応したネットワーク機器を踏み台としたSSDPリフレクター攻撃に対する注意喚起について

ルーターやプリンターなどの通信ネットワークに接続できる機器には、通信ネットワークに接続すれば、面倒な設定などを行うことなく他の機器と通信し、機能を利用できるようになっています。これは、「UPnP」(Universal Plug and Play)という機能で、信号やデータを相互に伝送できるように手順や規格などが定められており、これを「通信プロトコル」と呼びます。

SSDPとは「Simple Service Discovery Protocol」の略称で、ネットワーク上で機器を探したり、通信を確立したりするための機能で、UPnPに含まれています。SSDPリフレクター攻撃は、この機能を悪用してデータを増幅させ攻撃に使います。UPnPは広く普及している一般的な通信プロトコルで、オフィス用、家庭用問わず通信ネットワークに接続する世界中の機器に搭載されています。その数は少なく見ても数百万台にのぼるため、格好のターゲットになっています。

家庭用ルーターが狙われやすい!

SSDPリフレクター攻撃で主に狙われるのは、家庭用のルーターです。台数が非常に多く、初期状態でSSDPが有効になっていることが多いからです。また、適切に管理されていないことも狙われる理由です。ルーターに接続して管理画面で設定を変更したり、ログを確認したりすることは、一般家庭のユーザーはまず行いません。そのため、悪用されていることに気がつく可能性はかなり低く、攻撃者にとっては願ったり叶ったりの状況になっています。

攻撃に悪用されるルーターは、UPnPに対応しているものです。現在はUPnP非対応の方が珍しいので、よほど古い機種や特殊な機種でなければ、狙われる可能性があると考えてください。ご利用中のルーターがUPnP対応かどうかは、製品マニュアルや機種の型番から各メーカーのWEBサイトで確認することができます。

UPnP対応ルーターの初期設定は、SSDPが有効になっていることがほとんどです。通常の場合、LAN側のみ有効になっているのですが、古い機種の場合は、インターネット側からも有効になっていることがあります。そのため、初期設定をまったく変えずに使っている場合は、攻撃に悪用される可能性があります。一般家庭では、ルーターの設定を変更して使っている方が珍しいので、無防備な状態だと考えてください。

2013年1月に、UPnPに複数の脆弱性が確認されました。このなかには今回問題になっているSSDP関連の脆弱性も含まれています。また、2014年12月にもASUS・Buffaloなどを含む1200万台以上のルーターに脆弱性が発覚しました。こうした脆弱性を放置しておくと、ルーターを乗っ取られたり、接続している機器が攻撃されたりする危険性があるため、早急な対応が必要です。

脆弱性が発覚した場合、メーカーはすぐにファームウェアのアップデートで対策します。ですので、購入してから一度もファームウェアのアップデートをしていないという方は、すぐにメーカーWEBサイトでファームウェアのアップデートがないか確認してください。

無線LANブロードバンドルータの脆弱性について(ロジテック)

Portable SDK for UPnPにバッファオーバーフローの脆弱性(NEC)

無線ルーター「WN-G54/R2」、有線ルーター「NP-BBRS」セキュリティの脆弱性の対処に関するご案内(アイ・オー・データ)

弊社ルーターの脆弱性に関する報道につきまして(バッファロー)

SSDPリフレクター攻撃の対策方法

SSDPリフレクター攻撃は、ルーターに要求を送信し応答させ攻撃の加担をさせるものです。そのため、ルーターの負荷が増大し、通信速度低下などの障害が起きる可能性があります。また、いつまでも対策を講じないと、セキュリティの意識が低いユーザー、管理をしていないユーザーと判断され、より悪質な攻撃の対象になってしまう可能性もあります。なにより、意図していないとはいえ攻撃に加担することになり、他のユーザーに迷惑がかかるので、早急に対策をしてください。

脆弱性の解消する

まず、使用中のルーターに脆弱性などの問題がないかをメーカーWEBサイトで確認しましょう。注意喚起が出されていることを知らなかった場合、すぐに対応が必要です。また、UPnPの初期設定やファームウェアのアップデート情報などもメーカーWEBサイトで確認することができます。ファームウェアのアップデートは、脆弱性の対策だけでなく、不具合の解消や通信速度の向上のためにも行われるものですので、常に最新の状態にしておくのが基本です。なお、アップデートの方法は、メーカーや機種によって異なるので、メーカーWEBサイトのFAQやヘルプ、WEBマニュアル、製品付属のマニュアルなどを参考に行ってください。

1900番ポートへの通信を遮断

攻撃者は、UDPの1900番ポートに「M-SEARCH」という機器情報を問い合わせるメッセージを送ってきます。そこで、この1900番ポートに対する通信を遮断することで、攻撃の踏み台にされることを防ぐことができます。基本的に新しいルーターは、不必要なWAN側からの通信はすべて自動的に遮断するようになっているので、この1900番ポートへの通信も自動で遮断します。しかし、古いルーターの場合は、自分で設定しなければなりません。ルーターの「ポートフィルタリング機能」や「パケットフィルタリング機能」でWAN側から1900番ポートに対するUDP通信を遮断してください。詳しい設定方法などは、お使いのルーターのマニュアルやメーカーWEBサイトで確認をお願いします。

UPnP機能を無効にする

UPnPは主にゲーム機の外部との通信や外部から自宅のパソコンにリモートアクセスする際に必要になるものですので、無効にしても問題ない方が多いと思います。UPnP機能が必要ない場合は、ルーターの設定で無効にしておくと、SSDPリフレクター攻撃の踏み台にされる可能性はなくなります。もしくは、外部からの「M-SEARCH」メッセージに対して応答しないように設定できる場合は、それで対応するのがベストです。もし、無効にした後に接続ができない、不安定になるなどの症状が発生した場合は、有効に戻して、他の対策をとってください。UPnPを無効にする方法は、メーカーや機器によって異なりますので、メーカーWEBサイトやマニュアルなどで確認をお願いします。

ルーターのUPnP機能を有効にする方法(無線親機ルーターモデル、有線ルーター)(バッファロー)

Q.【Wi-Fiルータ】UPnPを有効にする方法/UPnPの設定を行うには?(エレコム)

関連記事 RELATED

おすすめの記事 RECOMMEND

ランキング RANKING