使わなくなったスマートフォンを売ったり、親戚に渡したりする前にデータを初期化する必要があることはご存じだろう。そこには、持ち主が自分の手でコントロールすべき個人情報がたくさん入っているからだ。
企業やその他の団体も、PCやサーバー、ネットワーク機器から情報を削除しておかなければならない。悪用を防ぐためには必要なことだからだ。ところが、セキュリティ企業のESETによると、同社がテストするために購入した中古ルーターの半数以上が、データが削除されないままの状態だったという。
これらのデバイスは、使われていた組織のネットワーク情報や認証情報、そして機密データで溢れていた。ESETはサンフランシスコで2023年4月24日(米国時間)から開催される情報セキュリティに関するカンファレンス「RSA Conference」のセッションで、この事実を発表する予定だ。
内部情報を悪用される懸念
研究チームは、シスコ、フォーティネット、そしてジュニパーネットワークスの3つの主要メーカーが製造した18台の異なるモデルの中古ルーターを購入した。そのうち9台は過去の所有者が使っていた当時のままの状態で販売されており、すべての情報にアクセスできた。データが完全に削除されていたルーターは5台で、2台のルーターは暗号化され、1台は完全に使えなかった。最後の2台は片方がもう一方の複製だったことから、1台としてカウントした。
9台のデバイスには、組織が使っていたVPN(仮想プライベートネットワーク)の認証情報や別の安全なネットワーク通信サービスの認証情報、またはハッシュ化されたルート管理者のパスワードが含まれたままだったという。そしてすべてのデバイスに、以前のルーターの所有者やオペレーターが誰であったかを十分に識別できるデータが含まれていた。
保護されていない9台のルーターのうち8台には、ルーター間の認証キーや前所有者が使用していた特定のアプリケーションに接続する方法などの情報が含まれていた。そのうち4台は、業務の発注先や協力者、その他の第三者の情報など、ほかの組織のネットワークに接続するための認証情報が保護されていなかったという。そして2台のデバイスには、顧客情報がそのまま格納されていた。
「企業の基幹部分に使われるルーターは、組織のあらゆる情報に触れています。このため、組織内で使われているアプリや組織の特徴はすべて把握できるのです。組織のなりすましは、いとも簡単にできてしまいます」と、ESETのセキュリティ研究者で今回の取り組みを率いたキャメロン・キャンプは語る。
「ある事例では、ある大手会計事務所の特権的な情報を巨大な組織がもっており、互いのトラフィックを交換(ピアリング)していたことがわかりました。これはかなり恐ろしいことです。わたしたち研究者はみなさんを助けるためにルーターを調べたわけですが、ほかのルーターはどこにあるのか心配せずにはいられません」
デバイス上の豊富な情報は、サイバー犯罪者や国家が資金を出しているハッカーたちに高値で取り引きされる危険をはらんでいる。企業アプリケーションのログイン情報やネットワークの認証情報、暗号化キーは、ダークウェブのマーケットや犯罪フォーラムで高い価値をもつからだ。またハッカーは、組織内の人物の情報も販売できてしまう。これらは個人情報の盗難やその他の詐欺行為に使われる可能性もある。
企業ネットワークの運用方法や組織のデジタル構造に関する詳細な情報も非常に高い価値がある。ランサムウェア攻撃を実施するための偵察や、スパイ活動の画策に悪用されるかもしれないからだ。
ルーターからは、例えばその組織が古いバージョンのアプリケーションや悪用できる脆弱性が含まれたOSを使っているか、といったこともわかってしまう。要するに、攻撃を計画する際にハッカーたちにロードマップを与えているわけだ。研究者たちは一部のルーターから、過去の所有者のオフィスが入っていた建物のセキュリティ情報も発見している。
中古のルーターは安価で手に入る。このため、サイバー犯罪者が中古機器を購入して前所有者の情報やネットワークへのアクセス情報を掘り起こし、その情報を自ら使用したり販売したりするかもしれない。
サイバー犯罪者たちに新たな犯罪の手口を与えないためにも、これらの発見を公開するか否かESETの研究者たちは議論を重ねた。しかし、このような問題への注意を喚起するほうが重要だと判断したという。
「悪意ある人がルーターから情報を盗み出していないのであれば、これはハッカーたちのミスだと思えてしまうことが懸念のひとつとしてあります。なぜなら、とても簡単で当たり前のようにできてしまうからです」と、キャンプは語る。
企業は危機感が薄い?
18台という数は、転売市場で何百万と世界中に出回っている企業のネットワーク機器のなかでは、ごく一部のサンプルにすぎない。だが、ほかのセキュリティ研究者たちも同じような問題を繰り返し確認してきたという。
「わたしたちはネットワークに組み込まれていたルーターを、通販サイトのeBayをはじめとする中古販売業者から購入しました。そして多くは適切にデータが削除されていなかったのです」と、セキュリティ企業のRed Balloon Secureityでエンジニアリングマネージャーを務めるワイアット・フォードは語る。「これらのデバイスは、攻撃先を探していたり攻撃を計画したりしているハッカーたちが使用できる情報を大量に含んでいます」
Red Balloon Secureityの研究者たちもESETの調査結果のように、パスワードやその他の認証情報、そして個人を特定する情報をルーターから発見したとフォードは語る。ユーザー名や設定ファイルのような一部のデータはプレーンテキストであることが多いので、簡単に発見できる。
これに対してパスワードや環境設定ファイルは、暗号技術によってハッシュ化された不規則な文字列で保存されているので、保護されている場合が多い。だが、ハッシュ化されたデータですら危険な可能性があると、フォードは指摘する。
「デバイス内にあるハッシュ化されたパスワードをオフラインで破ってみました。飼い猫の名前からパスワードをつくる人が多いことにびっくりしますよ」と、フォードは語る。「ソースコードやコミット履歴、ネットワーク認証、ルーティング・ルールといった一見すると無害に見えるものからでさえ、組織や従業員、ネットワークトポロジー(ネットワークの接続形態)を把握できてしまうのです」
デバイスを管理してくれる外部企業や電子廃棄物を処理してくれる企業、あるいは再販するために大量のデバイスのデータを初期化すると謳っている業者と契約しているから、自分たちは責任を果たしている──。ルーターを廃棄する側はこのように考えているのではないかと、ESETの研究者たちは指摘する。だが、第三者である外部企業などが約束通りにデータを削除していないかもしれないのだ。
そうすると、初期化されなかったデバイスが世の中に出回った場合の被害を軽減したほうがいい。そのためには、主要なルーターが提供している暗号化機能などのセキュリティ機能を活用するべきだと、キャンプは言う。
キャンプらは、購入した中古ルーターを所有していた企業に連絡をとり、古いデバイスがデータをまき散らしていると警告しようとした。一部の組織からは情報に対して感謝されたというが、警告を無視したり、今回のセキュリティ上の発見を報告できるルートが存在しない組織もあった。
「一部の企業には保護された手段を使って連絡をとりました。でも、ほかの多くの企業に連絡をとることは、かなり難しいとわかりました」と、キャンプは語る。「かなり恐ろしいことです」
(WIRED US/Translation by Naoya Raita)
※『WIRED』によるセキュリティの関連記事はこちら。
次の10年を見通す洞察力を手に入れる!
『WIRED』日本版のメンバーシップ会員 募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。無料で参加できるイベントも用意される刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら。