一部のモバイルWiFiルーター、USB接続するとPCにグローバルIPアドレスが割り当てられる仕様に 37
ストーリー by hylom
確かにそれは怖い 部門より
確かにそれは怖い 部門より
あるAnonymous Coward 曰く、
一部のモバイルWiFiルーターは、PCにUSB経由で接続して利用した際にPCに直接グローバルIPアドレスを割り当てるという挙動をするそうだ。一部のマルウェアはこれを利用してPCを狙った攻撃を行っているという(徳丸浩のTweet、INTERNET Watch)。
PCに直接グローバルIPアドレスが割り当てられることで、PCの設定によってはインターネットから直接PCの全ポートへのアクセスが可能になるおそれがある。これを利用し、PCにインストールされているソフトウェアの脆弱性を攻撃してマルウェアに感染させるという攻撃が実際に発生しているそうだ。具体的には、IT資産管理ソフト「SKYSEA Client View」の脆弱性が狙われたとの報告があるという。
ルーターモードでは無くなることが重要な注意点 (スコア:5, 興味深い)
元記事には明記されているけど、スラドでは
ルーターではなく、ブリッジになることが明記されていない。
それは必然かもしれないけど
明記されないと、見落として文脈を見失う人も多いかもね。
で、これが、給電目的でPCとUSB接続したら
意図せず、ルーターモードでは無くなるといういうなら
やっかいな問題のような気もします。
昔なら、USB接続してもUSBモデムになるだけで
USB-シリアル接続モデム相当で、設定せずに
グローバルIPアドレスが貰えたりはしなかった。
RNDISで、自動接続されるにしてもルーターモードなら
その機能を知らず、無線LAN接続のままのつもりで
「給電していると、通信速度が安定するなぁ〜」
みたいな間抜けな発想で解釈している人も、大過なかった。
でも
それが、ルーターモードではなく
USB-シリアル接続モデムに近い性質を与えるべく
ブリッジ接続になるような仕様だとすると
素人には危なく
玄人にも、見落としによる危険がある
という話なのかなぁ…
一時期LTEモデル欲しかったけど、セキュリティ考えると
「やっぱ、間にルーターあったほうがいいや」と思っちゃうもんなぁ…
Re: (スコア:0)
今のスラドだとルータとブリッジの違いを理解してない人のほうが多そう
Re: (スコア:0)
そーいやBuffal●のブロードバンドルータにも似たような機能がありますね。
仕様なのかどうか知りませんが、昔からそういう動きをしてますけど、LAN側のポートの先が電源が入っている状態で当該ブロードバンドルータの電源が入るとブリッジになってくれます。
ルータモード(NAPT)になってほしいときにはLAN側の線を全部抜いてから、当該ブロードバンドルータの電源を入れて、起動してからLAN側を挿し直すと期待通りに動きます。他のブロードバンドルータでは見られない珍しい動きですけどわかってれば問題にならないかな。起動完了も早いし、安いし、FastEthernetワイ
Re: (スコア:0)
あ、書き忘れ。有線の昔からある機種ね。
Re: (スコア:0)
>昔なら、USB接続してもUSBモデムになるだけで
そりゃ刺しただけでIPもらえませんわ
普通にダイアルアップして繋ぐってことなので、
普通にグローバルアドレス貰ってました。
どっちのIP? (スコア:4, 興味深い)
IPv4なら贅沢なアドレスの使い方してるな、としか。
IPv6なら当たり前だろ、としか。
Re: (スコア:0)
うむ、(IPv4だとして)アドレスが足りないからキャリアグレードNATかけて引き上げるなんて話もチラホラあるのに今どきぜいたくだなーと思った。
Re:いまどきのスマホなら普通IPv6では (スコア:0)
Docomo(のMVNO)とSBで亀が踊る [kame.net]ことを確認している。
テザリングした端末も同様。
Re: (スコア:0)
超キホン的なことがわかってないので教えて欲しいのですが、
ブリッジってそれ自体にIPアドレスつくんですか?
つまり、ブリッジとPCでIP二つ消費するんですか?
ルータモードならルータ自体につくはずのIPを
ブリッジモードならPCにつけているのではなく?
Re:どっちのIP? (スコア:1)
impressの記事まではちゃんと読んでなかったので、ルータというのを前提で考えてたよ。
なんで
IPv4の場合、/30とか/29でIPが降ってきてUnnumbered接続?→今時贅沢な使い方
IPv6の場合、/64で降ってきて各PCにグローバル配るのが当前、なにをいまさら
と思っただけ
Re: (スコア:0)
IPv6の/64って実質IPv4の1個と同等で各PCにグローバル配ったりできないはずだが
Re: (スコア:0)
超キホン的なことがわかってないので教えて欲しいのですが、
ブリッジってそれ自体にIPアドレスつくんですか?
つかない。
IP(ネットワーク層)より下のレイヤに位置して、複数のIPノード間の通信を「橋渡し」するデバイスだから。
Re: (スコア:0)
ブリッジとしての動作には自身のIPアドレスは絡まないけど、管理用のインタフェースとしてIPアドレスを割り当てられているのでは。
確認のための通信をこのIPを発信元として行っている、と。
ルーターとWiFiを別機器で構成するときは大抵ブリッジモードにしますが、その無線APにはたいていIPアドレスを割り当てますよね。中継器も然り。
全ての機器にグローバルアドレスを (スコア:3, すばらしい洞察)
言ってることはわかるんだけど、PCはたとえグローバルアドレスが割り振られても大過なく使えるようになっててほしいね。むしろ、LANの中だけ油断する方が筋が通らないというか。
Re:全ての機器にグローバルアドレスを (スコア:1)
今時のセキュリティソフトウェアはIDSっぽい機能あったり、プロセスやポートで動作を制限したりとか出来るのにね。
そんなことすら煩わしいと感じる人達が使えるほどに普及したと喜ぶべきか、そんな奴らは使うなよと憤慨すべきか…
Re: (スコア:0)
ショボいWebアプリをメンテしてた時、
「外部に公開して、インターネットからアクセスできるようにしよう」
って言われて、「うん、それムリ」って返したのを思い出した。
あんなセキュリティがガバガバな奴を、防火壁の外に見せられるわけ無いじゃんかよ....
確かに理想としては鉄壁のセキュリティを誇るべきだが、現実は散々だったんだよ。
Re:全ての機器にグローバルアドレスを (スコア:1)
そこは「VPNいれればできますよ」って言っとくところじゃない?
Re: (スコア:0)
別ACだけど、クラウドに仮想ルータを立てて、社内とモバイルで別々のVPNから接続し、その奥にある仮想マシンにアクセス、ならやってる。
でもコストと利便性を考えると、客先にどこまで薦められるかという気も
Re: (スコア:0)
FWを設定できる人が絶対的に少ないだけ。
正しい設定方法を説明したところで、ググって違う答えを見つければそっちを信じてしまうのでもうどうにもならない。
Re: (スコア:0)
Windowsファイアウォールのプライベートとパブリック設定、どれくらい認知されてるんだろ。
Re:全ての機器にグローバルアドレスを (スコア:1)
このトピックだと、
「PCの設定によっては」となっているが、その辺はMSが非常によく考えて設計してあるのでよほど無茶しなければズカズカ入られたりしない。
狙われたのは「IT資産管理ソフト」つまり、外からつながるようにFWを設定変更するようベンダが指示してるはず。
FWがあってもよってたかって壊すんだからどうにもならない。
Re: (スコア:0)
なんかまさに、ファイアウォールのプロファイル設定が認知されているのか微妙なコメントが付いた気がしないでもない。
Windowsファイアウォールの設定は本来はツールパッケージのインストーラが行えばよくて、ユーザーが設定する必要は基本的に無い。
ただユーザーは、接続しているネットワークがプライベートなものなのかパブリックなものなのかは意識していなければならない。
Re: (スコア:0)
いやだから、なんとかいう資産管理パッケージが(直接インストーラでやったか、ユーザーに開けさせたかはともかく)パブリックネットワークにつながっているのにポートを開けたから問題が起きたわけで、グローバルIPが付けられたかどうかはあまり大きな問題じゃない。
それなのに、ルータがグローバルIPを振ったから、のような問題提起が起こること自体が、FWに対する無知から来るものだ。
と言いたいだけ。何度も言うけど、もう治らない。
Re: (スコア:0)
件のソフトは確かにポートを開けてるんだろうけど、ポートを開けること自体を責めてもしょうがない。だってそのポート使うんだろうからさ。開けたポートの対応はそいつが受けるんだから、そこに脆弱性があったらいけないよねって話。
https://www.jpcert.or.jp/at/2016/at160051.html [jpcert.or.jp]
グローバルアドレスを振らないとか、ポート自体を塞ぐとか、そういうので攻撃がおこらないってのは、実際にそうなんだろうけど、それを解決方法にしたら脆弱なままになる。
Re: (スコア:0)
言いたいのはつまり、間違っているのはファイアウォール(のポート)の設定とは限らないのでは、ってこと。
「IT資産管理ソフト」は普通に考えてパブリックネットワークで使うものではないので、
パブリックのプロファイルにポートの穴を開ける必要はない。
ユーザーに設定させなければ、間違ってパブリックに穴を開けてしまう設定が行われることも無い。
しかし、ユーザーが間違ってパブリック向けのネットワーク(件のWiFiとか)をプライベートネットワークに設定してしまう事はあるかもしれない。
そこでそもそも、パブリックとプライベート(あとドメインも)設定って正しく認知されているのだろうかという疑問に至ったのが #3338469。
それに対して#3338515がどうも話が繋がってないように見えたので、間を埋めようとしたのが#3338536、というワケ。
一応補足だけ。
Re: (スコア:0)
何でもやりたい放題できないと意味ない
Re: (スコア:0)
>つても情シスが社内のPCを乗っ取って自由に管理するためのソフトだし
本来、この手のソフトこそ最高のセキュリティが担保されてなきゃいけないんだけどね。
たとえばsshがガバガバだったら話にならんだろう。
残念なことに「資産管理ソフト」の9割以上はプログラマの質を疑うレベルなんだけど。
メモリリークはするわメールは消えるはPCフリーズするわ・・・
Re: (スコア:0)
挙げ句の果てに、普通に動いているシステムの動作まで妨害するからね、
運用コスト削減を謳う割に、監視ツールで余計な工数が増えるのはありなのかと。
Re: (スコア:0)
OSはそういうものを許すプログラミングモデルを採用すべきではないし、技術者は危険な思想だと正しく認識するセンスを持つべき
Always Connected PC とか (スコア:3)
手元にも LTE 内蔵 Windows タブレットがあるけど、ARM版 Windows とか、Always Connected PC が増えると(Large Scale NAT は置いといて)グローバル IP が割り振られるのも当たり前になるかも。
今までは? (スコア:2, 興味深い)
(USB)モデムとしてつかったら全部そうなんじゃないの?
Re: (スコア:0)
よく気が付いたな
きじもとの発想はそういうことも含んでます
Re: (スコア:0)
MVNOだって個人向けプランでも未だにグローバルIPアドレスを割り当ててくれるOCN(MVNO・MVNEともに)みたいな所もありますしねぇ
Re: (スコア:0)
そうだよね。
USB-LANアダプターとして接続してるならともかく。
Re: (スコア:0)
国内で売られているものはモデム機能が殺されていたと思う。
5年くらい?前にb-mobileだかから買ったのはそうだった。
どうしてそうしていたのかは知らない。
Re: (スコア:0)
同一機種か判りませんが、同じ位に日本通信で購入したUSBドングル式はOEM元のソフトで操作したらmodemモードに変わった気がします
ただdocomo系のデータ専用SIMを刺すとCSのaccess denied見て圏外扱いになり接続できなくなるのでSMSか音声付が必要になるのと、実効速度が遅くなった記憶があります※この仕様は最近の安物でも変わっていませんが・・・
日本通信的にはサポートコストがあがるだけなので無かった事にしたのではないでしょうか
Windows10から「ネットワークが存在しないときは、ダイヤルする」オプションが無くなったので、切断された時の自動再接続がOS標準可能だけでは難しくなったので組み込みチックな用途ではめんどくさくなりました・・・
Re: (スコア:0)
2004年から2009年までPCMCIAでAirH契約していた。
このシステムでは普通にグローバルIPアドレスがPCに付与されていた。
あるときログに、ほんの短時間使ってる間の不審なSSHアクセスが残ってることに気づいた。
それ以降USBと無線LANの片方、あるいは両方に使えるデバイスを5種類ほど使ってたが、いずれもプライベートアドレスを内側に振ったNATルータであった。
モバイルルータにグローバルIPアドレスを振るオプションサービスも利用したが、これも同様。