海の向こうの“セキュリティ”

2016年に最も多くの脆弱性が報告された製品はAndroid、ベンダー別ではAdobe ほか

家庭用ルーターのセキュリティに関する英国における実態調査

 史上最大級のDDoS攻撃に使われたマルウェア「Mirai」をはじめ、家庭用ルーターを狙った攻撃が世界的に発生する中、英国のISP比較サイト「Broadband Genie」は、同サイトの利用者2000人を対象に行った、ルーターのセキュリティに関する意識調査の結果を発表しました。2000人の詳細は明らかになっていませんが、主に英国内のブロードバンドユーザーと考えられます。

 まず、ルーターに対する攻撃の可能性を懸念しているかを尋ねた結果が以下の図です。

(Broadband Genie「Half of British broadband users at risk from insecure wireless routers」より)

 「Very converned」と「Somewhat concerned」を合わせて54%が懸念していると回答しています。このように半数以上が懸念しているにもかかわらず、実際にルーターに対して行ったことのある事項を尋ねた結果はかなり残念なものになっています。

(Broadband Genie「Half of British broadband users at risk from insecure wireless routers」より)

 いずれの項目も「当然実施すべき」ものですが、実施しているのは少数派となっています。中でも、管理画面にアクセスしたことのある割合が19%にとどまっているのも驚きですが、それ以上に衝撃的なのは、これらの項目を何も実施したことがない割合が53%(該当なしを含む)と半数を超えている点です。これはすなわち、すでに何らかの侵害行為が行われているにもかかわらず、それに気づいていない利用者が相当数に及んでいる可能性があることを示していると言えるでしょう。

 また、Wi-Fiのパスワードを共有している相手を尋ねた結果は以下のようになっています。

(Broadband Genie「Half of British broadband users at risk from insecure wireless routers」より)

 少数ではあるものの「隣人」との共有が4%もあります。

 今回の結果は、あくまで英国の利用者を対象としたものですし、そもそも調査対象者の詳細な内訳が明らかになっていないなど、統計データとしての信頼性にも疑問があります。それでも、それなりに「実態」を示しているとは言えますし、日本で同様の調査を行っても結果に大きな違いはないように思います。改めて利用者に対する注意喚起とともに、ルーターメーカーにはセキュリティ設定を容易にする仕組みの導入などを強く求めたいところです。また、今回の調査ではISPから支給されたルーターを使っている割合が9割近くに及んでいるとの結果が出ており、今後はISPもルーターのセキュリティに対して(今以上に)責任を問われるようになるかもしれません。

2016年に最も多くの脆弱性が報告された製品はAndroid、ベンダー別ではAdobe

 セキュリティコンサルタントのSerkan Ozkan氏が個人で運営している脆弱性データベースサイト「CVE Details」では、CVE番号を振られた脆弱性について容易に検索できる仕組みを提供しています。同サイトによれば、2016年に最も多くの脆弱性が報告された製品はAndroidの523件で、2015年の125件(26位)から大幅に増えています。

 上位10製品は以下のようになっています。

順位製品名ベンダー名製品種別脆弱性数
1AndroidGoogleOS523
2Debian LinuxDebianOS327
3Ubuntu LinuxCanonicalOS278
4Flash PlayerAdobeApplication266
5LeapNovellOS260
6OpensuseNovellOS228
7Acrobat Reader DcAdobeApplication227
8Acrobat DcAdobeApplication227
9AcrobatAdobeApplication224
10Linux KernelLinuxOS217

 ベンダーごとにまとめたのが以下の図です。

(CVE Details「Top 50 Products By Total Number Of "Distinct" Vulnerabilities in 2016」より)

 トップはAdobeの1383件、2位はMicrosoftの1325件となっています。ちなみに、この2社の順位は2015年と同じです。

 ここで強調しておきたいのは、脆弱性の報告件数が多いからと言って、その製品自体が脆弱であるとは限らないという点です(もちろん、製品自体が脆弱である場合もあります)。報告件数が多くても、それらの脆弱性が適切に修正されれば、その製品は「安全になった」わけですし、そのようなベンダーは脆弱性対策に真摯に取り組んでいる、つまり「信頼できる」ベンダーと言える(こともある)からです。なお、今回の結果にはCVE番号を振られていない脆弱性は含まれていないことにも注意が必要です。

2016年で最も「人気」のパスワードはいまだに「123456」

 容易に推測しやすい「123456」や「qwerty」のようなパスワードを使ってはいけないというのはセキュリティの基本の1つです。しかし、パスワード管理アプリ「Keeper」で知られる米セキュリティ企業Keeper Securityがデータ侵害によって公になった1000万件のパスワードを調査した結果、2016年で最も多かったのは「123456」で、全体の17%を占めていたことが分かりました。

 上位25のパスワードは以下の通りです。

順位パスワード
1123456
2123456789
3qwerty
412345678
5111111
61234567890
71234567
8password
9123123
10987654321
11qwertyuiop
12mynoob
13123321
14666666
1518atcskd2w
167777777
171q2w3e4r
18654321
19555555
203rjs1la7qe
21google
221q2w3e4r5t
23123qwe
24zxcvbnm
251q2w3e

 文字の並びが単純であるだけでなく、上位10のうち4つ、上位15のうち7つが6文字以下と短い点にも注目する必要があります。また、17位の「1q2w3e4r」や22位の「1q2w3e4r5t」のような一見するとランダムな文字列のようでいながら、実際にはキーボードの並び通りのものも類推しやすい弱いパスワードです。なお、15位の「18atcskd2w」と20位の「3rjs1la7qe」はランダムな文字列ですが、ボットが使うダミーアカウントに設定されているパスワードとみられています。

 これまでにも何度も指摘されていた問題であり、啓発を続けて来た身としては脱力感を覚える結果ではありますが、この結果に対し、Keeper SecurityのCEOであるDarren Guccione氏は、利用者への啓発には限界があるとし、上記のような安易なパスワードを許してしまうシステム側の問題を指摘しています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。