先週、ドイツ政府はブロードバンドルーターのセキュリティ対策として最低基準の提案を発表したが、その提案は不十分だと直ちに批判された。
ドイツの連邦情報セキュリティ機関 BSI は、この文書 (PDF) で「管理可能なレベルのセキュリティ」を求めており、「設計上およびデフォルトで利用可能」であるべきと考えるセキュリティ機能を定義していると勧告した。
この文書は、以下の方法で家庭用および SOHO 用ルーターをインターネットへの攻撃から保護することを目的としています。
- LAN/Wi-Fi のデフォルト サービスを DNS、HTTP/HTTPS、DHCP/DHCPv6、ICMPv6 に制限し、パブリック インターフェイスで利用可能な最小限のサービス セット (構成用の CWMP、VoIP がサポートされている場合は SIP、ICMPv6) に制限します。
- ゲスト Wi-Fi サービスがデバイス構成にアクセスできないようにします。
- 製造元、モデル、MAC アドレスなどの識別子を除外した強力なパスワードを使用して、WPA2 暗号化を最低限のデフォルトとして設定します。
- 構成インターフェイス上の強力なパスワード保護。WAN インターフェイスで使用可能な場合は HTTPS によって保護されます。
- ファイアウォール機能は必須です。
- リモート構成はデフォルトでオフになっており、暗号化されたサーバー認証接続経由でのみアクセスできる必要があります。
- プッシュ更新のオプションを備えた、ユーザー制御のファームウェア更新。
ガイドラインでは、工場出荷時設定へのリセットによりルーターを安全なデフォルト状態に戻し、工場出荷時設定へのリセット中にすべての個人データをユニットから削除する必要があるとも指摘しています。
週末には、OpenWRT チームと Chaos Computer Club が協力し、推奨事項が不十分であると批判しました。
スパム業者がUPnPの脆弱性を利用して10万台の家庭用ルーターをハッキングし、メール攻撃ボットネットを構築
続きを読む
BSIは、この技術ガイドラインはベンダー、ネットワーク事業者、消費者擁護団体との「2年間」にわたる協議の成果であると述べています。OpenWRTとCCCは、ベンダーからの意見が多すぎて、彼らの懸念への配慮が不十分だったと批判しています。
OpenWRTは、BISの文書には欠けている2つの重要なユーザー保護を指摘しました。ベンダーは、セキュリティアップデートによる製品サポート期間をユーザーに通知する必要があること、そして顧客は「ベンダーの公式サポートが終了した後でも」カスタムソフトウェア(OpenWRTなど)をインストールする権利を持つべきだということです。
CCCは、ユーザーに「最低限の」セキュリティを提供することを目的とした制度は失敗したと考えていると述べた。「実際の制度では、メーカーが指令に従うと決めた場合、メーカーが望むだけのセキュリティしか提供されていない」
Chaos は、このポリシーが Heartbleed、Sambacry、あるいは今月初めに暴露された BCMUPnP ボットネットなどの脅威にどのように対抗するかは「明らかではない」と指摘した。
OpenWRTのハウケ・メルテンス氏は、OpenWRTのようなファームウェアをユーザーが自由にインストールすることを義務付けていないことは「連邦政府のITセキュリティに対する意志の真剣さに明らかな疑問を投げかける」と語ったと伝えられている。
CCC のミルコ・ヴォクト氏は、安価で安全性の低いデバイスが BSI シールを付けて出荷される可能性があると考えていると付け加えた。®
+コメント
The Registerは長年にわたり、SOHOおよびホームゲートウェイルーター市場におけるセキュリティの悲惨な現状を記録してきました。その観点から、BSIのような取り組みは歓迎すべきものです。
しかし、CCC は、ユーザーが購入時にデバイスのサポート寿命を知る権利があると正しく指摘しています。これは、ベンダーがデバイスの開発を開始するときにほぼ確実に考慮されるためです。
オープン ファームウェアのサポートは、現時点ではニッチな考慮事項であると言えますが、サポート終了デバイスでこれをブロックする理由の 1 つは、ベンダーがアップグレードを販売する機会を保護するためであると言えます。
我々は、ユーザーのセキュリティ向上を国家組織だけに任せず、標準化団体が関与すべき時期が過ぎていると主張します。
