2016 年 4 月 13 日 MARC LALIBERTE 著

セキュリティ研究者の Mike Olsen 氏が先週末、Amazon.com で購入した PoE セキュリティカメラセットでの体験を記事にして発表しました。表示の問題をトラブルシューティングしていた彼は、購入したカメラの Web ポータルが HTML iframe を使用し、彼の同意もなく、いつの間にか悪意ある Web サイトをロードしていることに気付きました。このような攻撃は、CFS（Cross Frame Scripting）攻撃の典型的な例です。

HTML iframe エレメントを使用すると、1 つ目の Web ページから 2 つ目の Web ページをロードして、ページコンテンツの一部としてページ内に表示できます。iframe エレメントの正しい使い方の例として、たとえば WatchGuard Dimension でも iframe が使用されており、Dimension コマンド経由で管理する Firebox の Web UI を表示しています。ところが、Mike Olsen 氏が購入したセキュリティカメラの場合は、Web ポータルの一番下のほとんど見えないと言ってよい 1 x 3 ピクセルのウィンドウに、既知の悪意ある Web サイトがロードされていました。

目に見えない iframe を使用すれば、ユーザーに気付かれることなく、悪意ある Web サイトをブラウザーにロードできます。そしてその後に、悪意ある Web サイトが修正プログラムの適用されていないブラウザーの脆弱性を悪用し、ユーザーに気付かれずに、Web 認証の Cookie を盗んだり、マルウェアのクライアントマシンへのドライブバイダウンロードを実行したりできるようになります。

メーカーからマルウェアが拡散した例は、以前からいくつも報告されています。2014 年には、商用バーコードスキャナーのファームウェアが感染してマルウェアが拡散した例が、TrapX によって報告されました。2015 年には、Lenovo のラップトップにプリインストールされた HTTPS 接続に対して中間者攻撃を実行するアドウェアが見つかっています。さらに 2006 年まで遡ると、台数は少ないものの、RavMonE ウォームに感染した iPod が出荷されたことがありました。製品が感染した経緯や理由を解明するのは、必ずしも簡単なことではありません。メーカーが何らかの理由で何かに感染し、製品にも感染が広がって出荷されたのでしょうか。外部の攻撃者や内部の関係者がその製品を標的にしたのでしょうか。あるいは、製品にその種の問題があることを知りながら、メーカーが出荷してしまったのでしょうか。一つだけ明らかなのは、新品の製品はクリーンな状態で出荷されると我々は考えますが、犯罪者はその思い込みに漬け込むものだということです。

今後は、IoT デバイスのさらなる普及に伴って、ネットワーク接続されているデバイスが攻撃される機会が増加します。消費者側には、怪しげなメーカーの製品は買わない、あるいは、少なくともオンラインレビューなどで評判をチェックしてから買うといった、防衛手段が必要でしょう。また、管理者には、新しいデバイスの採用にあたってはこれまで通りにベストプラクティスに従って、サンドボックス環境でテストや監視を実施してから本番環境で使用するなどの対策が必要でしょう。 – Marc Laliberte