海の向こうの“セキュリティ”
2016年に最も多くの脆弱性が報告された製品はAndroid、ベンダー別ではAdobe ほか
2017年2月7日 10:00
家庭用ルーターのセキュリティに関する英国における実態調査
史上最大級のDDoS攻撃に使われたマルウェア「Mirai」をはじめ、家庭用ルーターを狙った攻撃が世界的に発生する中、英国のISP比較サイト「Broadband Genie」は、同サイトの利用者2000人を対象に行った、ルーターのセキュリティに関する意識調査の結果を発表しました。2000人の詳細は明らかになっていませんが、主に英国内のブロードバンドユーザーと考えられます。
まず、ルーターに対する攻撃の可能性を懸念しているかを尋ねた結果が以下の図です。
「Very converned」と「Somewhat concerned」を合わせて54%が懸念していると回答しています。このように半数以上が懸念しているにもかかわらず、実際にルーターに対して行ったことのある事項を尋ねた結果はかなり残念なものになっています。
いずれの項目も「当然実施すべき」ものですが、実施しているのは少数派となっています。中でも、管理画面にアクセスしたことのある割合が19%にとどまっているのも驚きですが、それ以上に衝撃的なのは、これらの項目を何も実施したことがない割合が53%(該当なしを含む)と半数を超えている点です。これはすなわち、すでに何らかの侵害行為が行われているにもかかわらず、それに気づいていない利用者が相当数に及んでいる可能性があることを示していると言えるでしょう。
また、Wi-Fiのパスワードを共有している相手を尋ねた結果は以下のようになっています。
少数ではあるものの「隣人」との共有が4%もあります。
今回の結果は、あくまで英国の利用者を対象としたものですし、そもそも調査対象者の詳細な内訳が明らかになっていないなど、統計データとしての信頼性にも疑問があります。それでも、それなりに「実態」を示しているとは言えますし、日本で同様の調査を行っても結果に大きな違いはないように思います。改めて利用者に対する注意喚起とともに、ルーターメーカーにはセキュリティ設定を容易にする仕組みの導入などを強く求めたいところです。また、今回の調査ではISPから支給されたルーターを使っている割合が9割近くに及んでいるとの結果が出ており、今後はISPもルーターのセキュリティに対して(今以上に)責任を問われるようになるかもしれません。
URL
- Broadband Genie(2017年1月10日付記事)
Half of British broadband users at risk from insecure wireless routers - https://www.broadbandgenie.co.uk/blog/20170109-router-security-survey
- The Register(2017年1月11日付記事)
Oh Britain. Worried your routers will be hacked, but won't touch the admin settings - http://www.theregister.co.uk/2017/01/11/wireless_router_insecurity_survey/
2016年に最も多くの脆弱性が報告された製品はAndroid、ベンダー別ではAdobe
セキュリティコンサルタントのSerkan Ozkan氏が個人で運営している脆弱性データベースサイト「CVE Details」では、CVE番号を振られた脆弱性について容易に検索できる仕組みを提供しています。同サイトによれば、2016年に最も多くの脆弱性が報告された製品はAndroidの523件で、2015年の125件(26位)から大幅に増えています。
上位10製品は以下のようになっています。
| 順位 | 製品名 | ベンダー名 | 製品種別 | 脆弱性数 |
| 1 | Android | OS | 523 | |
| 2 | Debian Linux | Debian | OS | 327 |
| 3 | Ubuntu Linux | Canonical | OS | 278 |
| 4 | Flash Player | Adobe | Application | 266 |
| 5 | Leap | Novell | OS | 260 |
| 6 | Opensuse | Novell | OS | 228 |
| 7 | Acrobat Reader Dc | Adobe | Application | 227 |
| 8 | Acrobat Dc | Adobe | Application | 227 |
| 9 | Acrobat | Adobe | Application | 224 |
| 10 | Linux Kernel | Linux | OS | 217 |
ベンダーごとにまとめたのが以下の図です。
トップはAdobeの1383件、2位はMicrosoftの1325件となっています。ちなみに、この2社の順位は2015年と同じです。
ここで強調しておきたいのは、脆弱性の報告件数が多いからと言って、その製品自体が脆弱であるとは限らないという点です(もちろん、製品自体が脆弱である場合もあります)。報告件数が多くても、それらの脆弱性が適切に修正されれば、その製品は「安全になった」わけですし、そのようなベンダーは脆弱性対策に真摯に取り組んでいる、つまり「信頼できる」ベンダーと言える(こともある)からです。なお、今回の結果にはCVE番号を振られていない脆弱性は含まれていないことにも注意が必要です。
URL
- CVE Details
Top 50 Products By Total Number Of "Distinct" Vulnerabilities in 2016 - https://www.cvedetails.com/top-50-products.php?year=2016
- CVEdetails.com(PDF)
- https://media.blackhat.com/bh-eu-12/Arsenal/bh-eu-12-Ozkan-cvedetails.com.pdf
- The Register(2017年1月3日付記事)
Android tops 2016 vuln list, with 523 bugs - http://www.theregister.co.uk/2017/01/03/android_tops_2016_vuln_list_with_523_bugs/
2016年で最も「人気」のパスワードはいまだに「123456」
容易に推測しやすい「123456」や「qwerty」のようなパスワードを使ってはいけないというのはセキュリティの基本の1つです。しかし、パスワード管理アプリ「Keeper」で知られる米セキュリティ企業Keeper Securityがデータ侵害によって公になった1000万件のパスワードを調査した結果、2016年で最も多かったのは「123456」で、全体の17%を占めていたことが分かりました。
上位25のパスワードは以下の通りです。
| 順位 | パスワード |
| 1 | 123456 |
| 2 | 123456789 |
| 3 | qwerty |
| 4 | 12345678 |
| 5 | 111111 |
| 6 | 1234567890 |
| 7 | 1234567 |
| 8 | password |
| 9 | 123123 |
| 10 | 987654321 |
| 11 | qwertyuiop |
| 12 | mynoob |
| 13 | 123321 |
| 14 | 666666 |
| 15 | 18atcskd2w |
| 16 | 7777777 |
| 17 | 1q2w3e4r |
| 18 | 654321 |
| 19 | 555555 |
| 20 | 3rjs1la7qe |
| 21 | |
| 22 | 1q2w3e4r5t |
| 23 | 123qwe |
| 24 | zxcvbnm |
| 25 | 1q2w3e |
文字の並びが単純であるだけでなく、上位10のうち4つ、上位15のうち7つが6文字以下と短い点にも注目する必要があります。また、17位の「1q2w3e4r」や22位の「1q2w3e4r5t」のような一見するとランダムな文字列のようでいながら、実際にはキーボードの並び通りのものも類推しやすい弱いパスワードです。なお、15位の「18atcskd2w」と20位の「3rjs1la7qe」はランダムな文字列ですが、ボットが使うダミーアカウントに設定されているパスワードとみられています。
これまでにも何度も指摘されていた問題であり、啓発を続けて来た身としては脱力感を覚える結果ではありますが、この結果に対し、Keeper SecurityのCEOであるDarren Guccione氏は、利用者への啓発には限界があるとし、上記のような安易なパスワードを許してしまうシステム側の問題を指摘しています。
URL
- CNET Japan(2017年1月16日付記事)
よく使われるパスワード、Keeper Securityが2016年度のリスト公開 - http://japan.cnet.com/news/service/35095018/
- ITmedia(2017年1月17日付記事)
安易なパスワードの2016年版ランキング発表、ユーザー啓発はもう限界? - http://www.itmedia.co.jp/news/articles/1701/17/news073.html
- Gigazine(2017年1月17日付記事)
「2016年によく使われたパスワードトップ25」発表、数秒で突破可能な「123456」「qwerty」などが並ぶ - http://gigazine.net/news/20170117-most-common-password-2016/
- ZDNet(2017年1月13日付記事)
The worst passwords of 2016 are as lazy as ever - http://www.zdnet.com/article/only-yourselves-to-blame-the-worst-passwords-of-2016-are-as-lazy-as-ever/
- Keeper Blog(2017年1月13日付記事)
What the Most Common Passwords of 2016 List Reveals [Research Study] - https://blog.keepersecurity.com/2017/01/13/most-common-passwords-of-2016-research-study/
- The State of Security(2016年6月16日付記事)
So, Just Why Is 18atcskd2w Such a Popular Password? - https://www.tripwire.com/state-of-security/featured/so-just-why-is-18atcskd2w-such-a-popular-password/
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。