JVNTA#95827565
UPnP プロトコルを実装した機器に対する攻撃手法について(CallStranger)

UPnP プロトコルを実装した機器に対する攻撃手法が報告されています。 インターネットからアクセス可能な UPnP 機器は、DDoS 攻撃に悪用されたり、機器内部の情報を外部に送信させられたりする可能性があります。

• UPnP プロトコルを実装し、インターネットからアクセス可能な機器

UPnP (Universal Plug-and-Play) は、ネットワーク上の機器の自動検出や機器間の通信を規定したプロトコルです。
UPnP プロトコルは UPnP フォーラムで策定され、その後 2016年には OCF (Open Connectivity Foundation) に移管されています。

UPnP プロトコルを実装した機器は、インターネットからアクセスできない、組織内ネットワーク(LAN)で使用されることが想定されています。しかし、実際にはインターネットから直接アクセス可能な機器が多く存在することが知られています。

UPnP プロトコルでは、サービスを提供する機器がイベント発生時に通知を行う仕組みが規定されています。これは、通知を受け取りたい機器があらかじめサービス提供側の機器に SUBSCRIBE メッセージを送って通知先を登録し、何らかのイベントが発生したときに通知(NOTIFICATION メッセージ)が送られるというものです。

報告者はいくつかの UPnP 実装について調査を行ない、このイベント通知の仕組みが DDoS 攻撃に悪用される可能性を指摘しています。 また、外部に出すべきでない機微な情報がイベント通知メッセージに含まれる場合に、情報取得の手段として悪用される可能性についても指摘しています。

報告者は、UPnP プロトコルを管理している OCF に報告を行っており、OCF では UPnP Architecture ドキュメントの改訂を検討しています。現在、「UPnP Device Architecture version 2.0」の2020年4月17日改訂版が公開されており、section 4.1.1 において

「登録メッセージが指定する通知先 URL は、同一ネットワークセグメント内を指すもの以外は受け付けてはいけない(shall not)」
("The subscription request containing a delivery URL not on the same network segment as the fully qualified event subscription URL shall not be accepted.")

との記載が追加されています。

インターネットから直接アクセス可能になっているなど、信頼できない第三者がアクセス可能な状態で運用されている UPnP 実装機器は、 DDoS 攻撃に悪用されたり、機微な情報を外部に送信してしまう可能性があります。

UPnP実装機器のユーザ向け

• 外部からアクセスされないように設置する

  機器を接続する際には、信頼できない通信相手によって機器を悪用されないような接続形態およびネットワーク構成を確保してください。例えば、インターネットから直接アクセスできるような形態での運用を避けてください。

• UPnP 機能を無効にする

  UPnP の機能を使用する必要がない場合は、UPnP 機能を無効に設定してください。

• UPnP プロトコル実装を更新する

  UPnP プロトコルの改訂内容を参照してください。

• ユーザ向けの説明を充実させる

  製品開発者が想定していない形態で当該機器が設置され、第三者に悪用される可能性は常に存在します。当該機器でどのような機能が動作しているのか、開発者が想定している (あるいは避けてほしいと考えている) 設置環境はどのようなものか、をユーザに分かりやすく伝えることを心掛けてください。