チェック・ポイント・リサーチ、Ubiquiti製カメラおよびルーター2万台以上に潜む増幅攻撃やプライバシーリスクの脆弱性を報告

コンパクトでワイドアングル、双方向オーディオ付きのWi-Fi接続カメラUbiquiti G4 Instant、およびそのアプリケーションをサポートする付属デバイスCloudKey+のセキュリティ評価結果を公開

主なハイライト

• CPRは攻撃対象評価を実施し、Ubiquitiカメラのネットワークインターフェースにおいて2つの専用プロセスが公開されていることを発見しました。該当するのはポート10001と7004で、どちらにもUDPプロトコルが使用されています。

• ポートが持つ脆弱性の結果、2万台以上のUbiquitiデバイスがインターネット上に公開されていることが確認され、プラットフォーム名、ソフトウェアのバージョン、設定されたIPアドレスなどの情報が露出した状態にあることが明らかになりました。

• 露出しているデータは、技術的な攻撃やソーシャルエンジニアリング攻撃に悪用される可能性があります。

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、コンパクトでワイドアングルかつ双方向オーディオ付きのWi-Fi接続カメラUbiquiti G4 Instant、およびそのアプリケーションをサポートする付属デバイスCloudKey+に関する攻撃対象評価を実施しました。その結果、2万台を超える同カメラと付属するサポートデバイスにサイバー攻撃被害につながる可能性のある脆弱性が見つかり、注意を呼びかけています。

概要
2019年、Jim Troutman氏は当時のTwitter上で、10001/UDPのサービスを悪用して行われたUbiquiti製品へのサービス拒否（DoS）攻撃について投稿しました。投稿を受け、Rapid7は脅威を独自に評価し、約50万台のデバイスがこの悪用に対して脆弱であると報告しました。Ubiquiti社は脆弱性を認識したのち、「当該の問題は修正が施され、同社のデバイスは最新のファームウェアで実行されている」と発表しました。

それから5年が経過した現在も、2万台以上のデバイスが依然この問題に対して脆弱な状態となっています。本事例は、デスクトップやサーバーだけでなく、IoT機器においても、脆弱性を完全に緩和することがいかに難しいかを示す重要な例です。一連の調査で露出が確認された情報は、技術的な攻撃とソーシャルエンジニアリング攻撃の両方に悪用される可能性があります。CPRの調査を通じ、ユーザーが多くの場合は無自覚に公開してしまっているデータの膨大な規模が明らかになりました。

CPRの攻撃対象評価
CPRは、SSH（Secure Shell）プロトコル（手動でのアクティベートが必要）と標準管理用のウェブサーバーに加え、ポート10001と7004でUDPプロトコルを使用して、カメラのネットワークインターフェース上に2つの専用プロセスが露出していることを発見しました。これらのサービスにおける脆弱性はデバイスの完全な侵害につながる可能性があるため、重大な懸念を引き起こしています。 

リサーチャーはポート10001でtcpdumpを使用し、Ubiquitiの検出プロトコルを特定しました。CloudKey+デバイスは、マルチキャストされ検出されたデバイスに向け、定期的に 「ping」パケットを送信していました。それに対し、カメラ側はプラットフォーム名、ソフトウェアのバージョン、IPアドレスなどの詳細情報を含む「pong」メッセージで応答しました。ここでは、以下の2点が重要なポイントとなります。

1. 認証の欠如：検出パケット（ping）には認証が欠如していました。

2. 増幅攻撃の可能性：カメラからの応答は検出パケットよりも著しく大きく、増幅攻撃の可能性を示唆しています。

CPRはチェック・ポイントの内部テスト用ネットワークにおいて、検出パケットのなりすましを送信することに成功しました。それに対しG4カメラとCloudKey+の両方が応答したことで、CPRの懸念が裏付けられました。

インターネット上の再現性
次に、CPRはこの挙動がインターネット上で再現できるかどうかをテストしました。ポートフォワーディングしているにも関わらず、デバイスはインターネットプローブに反応しませんでしたが、これはおそらくチェック・ポイント特有のネットワーク設定とNTAによるものと考えられます。しかし、カスタムデコーダーを使用することで、インターネット上にある2万台以上のUbiquitiデバイスを特定することができました。そしてランダムサンプリングによって、これらのデバイスもなりすましパケットに応答することがわかりました。

この問題は過去にもCVE-2017-0938として報告されています。その際、Ubiquitiはこれに対処し、最新のファームウェアを搭載したデバイスであれば内部IPアドレスにのみ応答する、と述べていました。それにも関わらず、Rapid7が報告した50万台からは大幅に減少したものの、現在も約2万台のデバイスに脆弱性が残されています。

プライバシーに関する懸念
この状況は、特にIoT機器について、脆弱性を完全に軽減することの難しさを浮き彫りにしています。例えば、解読されたホスト名から、所有者名や所在地など、デバイスに関する詳細な情報が明らかになってしまい、ソーシャルエンジニアリング攻撃に悪用される可能性があります。 

漏えいされたデータの例として、以下のようなものがあります。

• デバイスの識別情報：NanoStation Loco M2やAirGrid M5 HPなど、デバイスのタイプを明らかにする情報

• 所有者の情報：個人の氏名、会社名、住所など、標的型攻撃の手がかりとなる情報

デバイスの中には、「HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD」などの警告メッセージを表示し、侵害されていることを示すものもありました。

責任ある情報開示
インターネットプローブに応答したデバイスについて、CPRがUbiquiti社に問い合わせたところ、Ubiquitiからは、この問題に対してパッチによる修正を行ったとの回答がありました。最新のファームウェアを実行しているデバイスは、内部IPアドレスから送信されたディスカバリーパケットにのみ応答するはずです。 

結論
このケースは、単純なミスが何年間も続く可能性があるということを思い出させるものであり、私たちの日常生活におけるテクノロジーへの依存度の高まりを脅威アクターたちが悪用しようと模索し続ける中で、サイバーセキュリティ業界は決して警戒を怠ってはならないということを再認識させるものです。IoT機器のバグやセキュリティの問題を販売後に修正することは、非常に困難です。パッチ1つで即座にすべてのユーザーを保護できるクラウドサービスとは異なり、IoT機器のアップデートは普及に時間がかかり、すでに配備されたすべてのユニットに届くまでには数年かかることも少なくありません。ユーザーの中には、システムのアップデートを一度も行わないため、永続的に脆弱性が存在する環境もあります。そのため、セキュリティバイデザインの原則に従ってIoT機器を開発し、エクスプロイトやマルウェアに対する保護メカニズムを最初から組み込んでおくことが不可欠です。 

どのように身を守るか
該当するカメラの所有者が感染から身を守るためにできることを、以下にご紹介します。 

1. カメラが最新のファームウェアを使用していることを確認し、パッチがあれば速やかにインストールする。

2. 使用中のカメラ、ルーター、その他IoT機器にパッチを適用することを、日常的なサイバー衛生ルーティーンの一部にする。

3. 自動アップデートをデフォルトで有効にしているIoTベンダーが増えているため、この自動アップデート機能が有効になっていることを確認する。IoT機器の購入前に、そのデバイスが自動アップデート機能を提供しているかどうかについて、販売業者またはベンダーに確認する。

4. もし可能であれば、カメラなどのIoT機器を直接インターネット上にさらすことは避ける。公開する場合には、必要以上に自分の個人情報（氏名、住所、その他個人を特定できる情報など）を公開しないよう注意する。

Check Point IoT Protect は、デバイスレベルのセキュリティを実現する包括的なセキュリティ機能セット、Nanoエージェントをデベロッパーがデバイスに組み込むことで、頻繁なパッチの適用を不要なものにします。このソフトウェアパッケージは、IoT機器に対するサイバー攻撃を特定し、ブロックするために設計された、スタンドアロンのソリューションです。デバイスの防御を強化し、その活動を監視し、接続されたデバイスを悪意あるアクターがコントロールするのを防ぎます。

本プレスリリースは、米国時間2024年8月1日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp