実は危険な「PPPoEブリッジ」

ある日突然、Fail2Ban が、SSH の不正接続により IPv6 アドレスを BAN(ブロック)したとのメールが届いた。

だが当然の事なのだが、ルーターでは SSH ポートは開放しておらず、なぜ SSH に対する攻撃が発生したのか、侵入ルートすら分からずに驚いてしまった。

Fail2Ban からのメール

sshd のジャーナルログ

攻撃の内容

ログなどから察するに、「root」アカウントに対してログインを試みていた様子である。

当然の事だが SSH のポートである 22 番は開放しておらず、どうしてインターネット側から攻撃されたのかが暫く分からなかった。

そして、ログを観察してみると、ドイツやイギリスなどからも同様の攻撃があった事が判明した。

だが、SSH に関しても ACL (アクセス制限リスト)を設定しており、信頼できるホスト以外からのログインは許可していなかったために、実害は無かったのが幸いだった。

侵入経路は?

一般的には、おおよそ1割の会社にはバックドアが存在するとも言われている。

Linux の世界でも「xz バックドア」問題などが発生した関係上、それらを疑ったのだが、nmap コマンドなどを利用してバックドアを探したのだが、見つからなかった。

当然、各マシンには全てファイヤーウォールを実装している関係上、バックドアではないとの結論に至った。

ルーターの設定の確認

ポートの開放は IPv4 のみで行っており、それ以外ではポート開放の設定は当然行っていなかった。

だが設定を見直してみると「PPPoEブリッジ」がオンになっていた。

「PPPoEブリッジ」はゲーム接続などに用いる設定であり、IPv6 のブリッジ(素通り)を実現する機能である。

だが、ゲーム接続では決まったポート番号などが存在しない事もあって、IPv6の全てのポートを開放しているのと同様の状態である事が判明した。

しかも、使用している NTT ルーター(RT-500MI)には、「PPPoEブリッジ」のポート制限などの機能は存在しなかったのである。

どうやら IPv6 の攻撃などにも対処が必要な時代になったらしい

インターネットを通じた攻撃は IPv4 が主流であり、IPv6 を使った攻撃は珍しかった。

と言うのも、IPv6 ではアドレスが余っており、常時30億を越えるデバイスが存在するために、攻撃者自信が何を攻撃しているのかよく分からなかったと言うのもある。

だが、IPv6 の環境が整った事もあり、国などを特定できる状態にはなった。 とは言え、ドメイン名に関連付いているアドレスは少ない状態だが、IoT 機器などの普及によりインターネットに接続されたデバイが多くなったのも事実である。

例えば「ネットワークカメラ」などは簡単接続などを売り文句にしているが、ファイヤーウォールなどのセキュリティ機能を有しているモノは殆ど無く、セキュリティーの観点から見れば無いも同然と言われている。例えば「INSECAM」などに代表されるように、知らず知らずの内に家の中を世界に配信しているカメラなども多数存在する。

必要が無ければ、「PPPoEブリッジ」やパススルーはオフにする

今回は自分の不注意から「PPPoEブリッジ」がオンになっていたのが原因だったのだが、IPv6 に関する知識不足を痛感した攻撃だった。

Facebooktwitterfoursquare

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です