UPnP対応機器を踏み台としたリフレクター攻撃が増加、警察庁が注意喚起

　警察庁は17日、UPnPに対応したネットワーク機器を踏み台とした「SSDPリフレクター攻撃」が確認されているとして、注意を喚起した。

　この攻撃は、UPnPで使用されるプロトコルのSSDPを悪用して、発信元を偽装することで応答パケットを攻撃対象に送信するもの。送信したパケットに対して応答パケットの方が大きくなるため、大量のパケットを攻撃対象に送りつけるDoS攻撃などに用いられる。

　警察庁の定点観測システムでは、SSDPが使用するUDP 1900番ポートに対して、機器情報の送信を要求する「M-SEARCH」メッセージの送信が、9月上旬ごろから増加していることを確認。攻撃者が、SSPDリフレクター攻撃の踏み台となるネットワーク機器を探索していると考えられるとしている。

攻撃の踏み台とするネットワーク機器の探索

UDP 1900番ポートに対するアクセス件数の推移

SSDPリフレクター攻撃

　10月上旬には、対策が不十分なネットワーク機器を踏み台として、特定のホストに対して攻撃が行われた事例も確認しており、今後も同様の手法を使用した攻撃が発生することが懸念される。

　警察庁では対策として、外部からのSSDPプロトコルの通信（UDP 1900番ポート宛のパケット）をファイアウォールにより遮断することや、ネットワーク機器がUPnP機能を使用していない場合には停止すること、UPnP機能を使用する場合には外部からの「M-SEARCH」メッセージに対しては応答しない設定を行うことを推奨している。

　米Akamai Technologiesも15日、SSDPリフレクター攻撃についての注意喚起を公表。同社の調査では、インターネットに接続された410万台のUPnP機器が、この攻撃に悪用される潜在的な脆弱性を持っており、該当機器のハードウェアベンダーにファームウェアのアップデートなど、対策を呼び掛けていくという。