「自診くん」公開で見えてきた、引き続きWannaCryに注意が必要な理由

サイバー・グリッド・ジャパンの仲上です。

先日公開された無料でお使いいただけるネットワークセキュリティ設定自己診断サービス「自診くん」。

公開直後から多くの皆様にご利用いただき、日夜インターネット側からお手元のパソコンのネットワーク設定の診断にご活用いただいております。

「自診くん」は、特定のサイバー攻撃が、インターネットから直接利用コンピュータに到達する可能性があるかを自己診断できるようにしたサービスです。

外出先などでパソコンをモバイルインターネットに接続した際、直接インターネットに繋がる（グローバルIPが割り当てられる）ケースや、ホテルなどの公衆Wi-Fi利用時で特に攻撃を拾いやすくなりますので、この「自診くん」でインターネットの設定状況をご確認いただければと思います。

さて、今回は、「自診くん」公開1週間で見えてきた、危険な設定状況の実態に迫ってみたいと思います。

• 「自診くん」の使い方について詳しく見る

このグラフは、これまでの診断結果からランダムに抽出した3000件に対してオープン（危険な状態）になっていた件数です。

まず気がつくのはTCPポート139、445が開放されているケースです。診断者のおよそ3パーセントが開放されていた結果でした。これは、仮に日本にインターネットに直接接続しているパソコンが100万台としても3万台、1000万台だと30万台位が危険な設定になっている計算になります。

TCPポート139および445は、Microsoft Windowsのファイル共有プロトコルであるSMB(Server Message Block)が利用しており、昔からワーム型のコンピュータウイルスがよく感染活動に悪用する通信経路です。最近では、TCPポート445は、5月に大流行したランサムウェアWannaCryが感染拡大に利用しました。

このTCPポート445が開いていた（危険な状態だった）という診断結果が「自診くん」で確認できた場合、WannaCryなどの侵入余地があるということになり、セキュリティ更新プログラムが未適用の場合はWindowsホストがWannaCryに感染する恐れがありますし、これからも新たな脆弱性が発見され悪用されることも十分に可能性があることから、インターネットに直接接続する環境では閉じておくのが常識です。この多くのケースが、USB通信機器やSIM内蔵のタブレットPCなどのグローバルIPアドレスを割り当てて通信サービスを提供するモバイルデータ通信環境での診断結果であると考えています。

対策としては、ポケットWi-Fiなどのルーター機能付モバイルインターネットやテザリングでの接続をご利用いただくか、モバイルデータ通信環境時のパーソナルファイアウォールの設定において、TCPポート139および445を閉じておくことが必要です。一部のセキュリティソフト付属のファイアウォール機能では、標準で該当ポートが開放状態になっていることを確認しています。このため、このまま利用するとファイアウォール機能が有効でも該当ポートがオープンの状態になってしまっており、攻撃を許してしまう経路を残してしまいます。いずれにしても、インターネット接続時のパーソナルファイアウォール機能の設定確認も行うことで、より安全にお使いいただくことができると思います。

次に気になる点はポート番号22(SSH)・23(Telnet)です。

こちらは通常Linuxなどのサーバを設定する際に利用されているCLI（コマンド・ライン・インターフェース）サービスである、SSH(Secure Shell)やTelnetが動作しています。
公開サーバやインターネットアクセスに利用するやゲートウェイ機器が、設定用に利用している場合がありますが、通常は組織内部側からのみ接続可能な設定になっています。

インターネットから、これらのポートに接続可能な場合、脆弱性に対する攻撃に加え、辞書攻撃などによる不正アクセスによってパスワードを突破されてしまう危険性があります。昨年大流行したIoTを狙うボットネット「Mirai：ミライ」なども、購入しパスワード変更せずに不用意に接続した監視カメラなどのIoT機器が攻撃を受けた話は有名です。

インターネット安全利用の観点からは、「自診くん」により問題が確認されたインターネット利用環境は、今回調査した脅威以外のサイバー攻撃も含め、リスクが残っていると考えられますので、ネットワークの管理者にお問い合わせいただき対策を講じていただくことをお勧めします。

「自診くん」はこれからも時節の脅威を考慮して進化させます。この自分で診断できる「自診くん」を適時活用して、安全で豊かなインターネットの世界をお楽しみください。