匿名の研究者が、残存する IPv4 インターネット全体をマッピングするという夢を実現するために型破りなアプローチを採用しました。その過程で、世界中の法律に違反したため、研究者は数千年にわたって投獄される可能性があります。
IPv4アドレス空間をスキャンするには、接続されているすべてのコンピュータを検出するために数十億回のpingを送信する必要があり、現実的にはスキャンを実行するために多数のマシンが必要になります。Nmapスクリプトエンジンをいじっていた研究者は、事実上セキュリティ保護されていないIPv4デバイスが多数あることに気づきました。これらのデバイスは、admin/adminまたはroot/rootのユーザー名とパスワードによる簡単なログイン情報のみ、あるいはパスワードを一切必要としないログイン情報しか必要としませんでした。これらのデバイスを一時的なボットネットとして利用し、スキャンを実行できたらどうなるでしょうか?
「どれだけ楽しかっただろうとか、頭の中で想像したインフラが期待通りに機能していただろうかと、残りの人生で自問自答したくなかった」と報告書「インターネット国勢調査2012」は述べている。
「私は、実際にインターネット規模で作業し、マウスをクリックするだけで数十万台のデバイスを制御でき、これまで誰もやったことのない方法でインターネット全体をポートスキャンしてマッピングし、基本的にほとんどの人がやらない方法でコンピューターとインターネットを楽しむことができるチャンスを見出しました。」
報告書によれば、C 言語で書かれたこのソフトウェアは、46 KB と 60 KB のサイズの 2 つの実行可能部分で構成されていた。1 つの部分は、脆弱なデバイスにログインして増殖しようとする Telnet スキャナーであり、2 番目の部分には、スキャン範囲を指定して結果をフィードバックするための制御コードが含まれていた。
実行ファイルは感染したデバイス内に一時的にしか存在しなかった。デバイスを再起動すると、挿入されたコードが完全に消去され、ソフトウェアはデバイスやイントラネットに接続されたシステムを通過する通常のインターネット トラフィックを傍受しなかったと言われている。
コードは、感染したデバイス内で干渉を避けるため、可能な限り低い優先度で実行されるように設定されており、ホストの通常動作が過負荷にならないようにウォッチドッグ機能も搭載されていました。また、プロジェクトの説明と、発見された場合に所有者または法執行機関が連絡するためのメールアドレスが記載されたReadmeファイルも添付されていました。
コードを一夜にして公開した後、報告書の筆者は42万の適切なボットネットエンドポイントを発見しました。これは、十分なCPUとRAMを備え、Linuxが稼働する適切なIPv4システムの総数の約4分の1に相当します。ボットネットは4つのログインの組み合わせだけで迅速かつ効率的に拡散し、すぐにかなりの数の報告を返しました。
Carna IPv4ボットネット
「誰もがハイレベルな攻撃やサイバー戦争について語っている一方で、4つの単純で愚かなデフォルトのTelnetパスワードによって、世界中の何十万もの消費者向けデバイスや何万もの産業用デバイスにアクセスできてしまう」と匿名の研究者は報告書の中で述べている。
Voltage Securityの製品管理担当副社長、マーク・バウアー氏はEl Reg紙に次のように語った。「これは素晴らしい研究であり、組み込みシステムや産業用システムでさえ、悪用可能な脆弱なリンクが数多く存在し、侵入されやすいという事実を改めて浮き彫りにしています。研究者たちはセキュリティ上の欠陥について報告したに過ぎませんが、攻撃者はこれらのシステムに容易にアクセスでき、結果として、より価値の高いものが侵害される可能性があります。」
家庭スパイ
感染したシステムの大部分は消費者向けルーターまたはセットトップボックスでしたが、ソフトウェアは Cisco および Juniper のハードウェア、暗号化アクセラレータ カードを搭載した x86 機器、産業用制御システム、および物理的なドア セキュリティ システムにも感染しました。
「調査中に確認した多くのデバイスやサービスは、そもそも公共のインターネットに接続すべきではありません。経験則として、『誰も、本当に誰も、インターネットに接続しないだろう』と思うかもしれませんが、実際に接続した人は少なくとも1000人います」と報告書は述べています。
「『インターネット上には存在しないはずなのに、もしかしたら何度か見つかるかもしれない』と思うような情報は、実際には数十万件も存在します。例えば、50万台のプリンター、100万台のウェブカメラ、あるいはルートパスワードがrootになっているデバイスなどです。」
結果として得られたボットネットは、報告書がCarnaと呼ぶボットネットの構築に使用されました。Carnaは、歴史的資料の信憑性に応じて、身体の健康またはドアの蝶番を司るローマの女神にちなんで名付けられました。しかし、CarnaはすぐにAidraと呼ばれる悪意のあるボットネットとの競争に直面することになり、研究者はバイナリを改造して可能な限りこの競合相手をブロックしましたが、それでもCarnaのエンドポイントは依然として約3万個あると推定されています。
プロジェクト全体は約6か月を要し、完全なスキャンは昨年10月に完了しました。報告書では、アクティブなIPv4アドレスの残りは約13億個(合計約43億個)と推定されています。9TBに及ぶスキャンデータ全体はダウンロード可能ですが、それを作成したボットネットはダウンロードできません。
「この調査自体は、インターネット全体を網羅した最も包括的なスキャンであるという点で注目に値します。合法的に実施され、インターネットの実態に関する情報を共有する、このようなプロジェクトがもっと増えることを期待します」と、Rapid7のセキュリティ研究者マーク・シュロッサー氏は電子メールでの声明で述べた。
2012年インターネット国勢調査は興味深いデータを提供していますが、その集計方法はほとんどの国で非常に違法です。安全でない設定やデフォルトのパスワードを使用してリモートデバイスにアクセスし、コードを実行することは非倫理的です。また、使用中のデバイスの通常の動作を妨げないように予防措置を講じたとしても、それが許容されるわけではありません。
彼の言うことには一理ある。グレーハットハッカー集団「ゴーツ・セキュリティー」のメンバー、アンドリュー・アウアーンハイマーがサーバーの脆弱性を悪用してiPadのユーザーアカウントを流出させた罪で月曜日に懲役3年5ヶ月の判決を受けたことは、セキュリティ研究業界の一部に大きな懸念を引き起こしている。
二つの状況は全く同じではありませんが、米国やその他の国の法律を厳密に解釈すれば、Carnaボットネットの使用は極めて違法となり、各ノードは過剰な検察官によって個別に訴追される可能性があります。問題の研究者が匿名を希望するのも無理はありません。®
