パスワードを忘れた? アカウント作成
13492922 story
インターネット

一部のモバイルWiFiルーター、USB接続するとPCにグローバルIPアドレスが割り当てられる仕様に 37

ストーリー by hylom
確かにそれは怖い 部門より
あるAnonymous Coward 曰く、

一部のモバイルWiFiルーターは、PCにUSB経由で接続して利用した際にPCに直接グローバルIPアドレスを割り当てるという挙動をするそうだ。一部のマルウェアはこれを利用してPCを狙った攻撃を行っているという(徳丸浩のTweetINTERNET Watch)。

PCに直接グローバルIPアドレスが割り当てられることで、PCの設定によってはインターネットから直接PCの全ポートへのアクセスが可能になるおそれがある。これを利用し、PCにインストールされているソフトウェアの脆弱性を攻撃してマルウェアに感染させるという攻撃が実際に発生しているそうだ。具体的には、IT資産管理ソフト「SKYSEA Client View」の脆弱性が狙われたとの報告があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年12月30日 20時57分 (#3338401)

    元記事には明記されているけど、スラドでは
    ルーターではなく、ブリッジになることが明記されていない。

    それは必然かもしれないけど
    明記されないと、見落として文脈を見失う人も多いかもね。

    で、これが、給電目的でPCとUSB接続したら
    意図せず、ルーターモードでは無くなるといういうなら
    やっかいな問題のような気もします。

    昔なら、USB接続してもUSBモデムになるだけで
    USB-シリアル接続モデム相当で、設定せずに
    グローバルIPアドレスが貰えたりはしなかった。

    RNDISで、自動接続されるにしてもルーターモードなら

    その機能を知らず、無線LAN接続のままのつもりで
    「給電していると、通信速度が安定するなぁ〜」
    みたいな間抜けな発想で解釈している人も、大過なかった。

    でも
    それが、ルーターモードではなく

    USB-シリアル接続モデムに近い性質を与えるべく
    ブリッジ接続になるような仕様だとすると

    素人には危なく
    玄人にも、見落としによる危険がある
    という話なのかなぁ…

    一時期LTEモデル欲しかったけど、セキュリティ考えると
    「やっぱ、間にルーターあったほうがいいや」と思っちゃうもんなぁ…

    • by Anonymous Coward

      今のスラドだとルータとブリッジの違いを理解してない人のほうが多そう

    • by Anonymous Coward

      そーいやBuffal●のブロードバンドルータにも似たような機能がありますね。
      仕様なのかどうか知りませんが、昔からそういう動きをしてますけど、LAN側のポートの先が電源が入っている状態で当該ブロードバンドルータの電源が入るとブリッジになってくれます。
      ルータモード(NAPT)になってほしいときにはLAN側の線を全部抜いてから、当該ブロードバンドルータの電源を入れて、起動してからLAN側を挿し直すと期待通りに動きます。他のブロードバンドルータでは見られない珍しい動きですけどわかってれば問題にならないかな。起動完了も早いし、安いし、FastEthernetワイ

      • by Anonymous Coward

        あ、書き忘れ。有線の昔からある機種ね。

    • by Anonymous Coward

      >昔なら、USB接続してもUSBモデムになるだけで
      そりゃ刺しただけでIPもらえませんわ

      普通にダイアルアップして繋ぐってことなので、
      普通にグローバルアドレス貰ってました。

  • どっちのIP? (スコア:4, 興味深い)

    by shinshimashima (9763) on 2017年12月30日 19時38分 (#3338369) 日記

    IPv4なら贅沢なアドレスの使い方してるな、としか。
    IPv6なら当たり前だろ、としか。

    • by Anonymous Coward

      うむ、(IPv4だとして)アドレスが足りないからキャリアグレードNATかけて引き上げるなんて話もチラホラあるのに今どきぜいたくだなーと思った。

    • Docomo(のMVNO)とSBで亀が踊る [kame.net]ことを確認している。
      テザリングした端末も同様。

    • by Anonymous Coward

      超キホン的なことがわかってないので教えて欲しいのですが、
      ブリッジってそれ自体にIPアドレスつくんですか?
      つまり、ブリッジとPCでIP二つ消費するんですか?
      ルータモードならルータ自体につくはずのIPを
      ブリッジモードならPCにつけているのではなく?

      • by shinshimashima (9763) on 2017年12月31日 22時04分 (#3338659) 日記

        impressの記事まではちゃんと読んでなかったので、ルータというのを前提で考えてたよ。
        なんで
        IPv4の場合、/30とか/29でIPが降ってきてUnnumbered接続?→今時贅沢な使い方
        IPv6の場合、/64で降ってきて各PCにグローバル配るのが当前、なにをいまさら
        と思っただけ

        親コメント
        • by Anonymous Coward

          IPv6の/64って実質IPv4の1個と同等で各PCにグローバル配ったりできないはずだが

      • by Anonymous Coward

        超キホン的なことがわかってないので教えて欲しいのですが、
        ブリッジってそれ自体にIPアドレスつくんですか?

        つかない。
        IP(ネットワーク層)より下のレイヤに位置して、複数のIPノード間の通信を「橋渡し」するデバイスだから。

        • by Anonymous Coward

          ブリッジとしての動作には自身のIPアドレスは絡まないけど、管理用のインタフェースとしてIPアドレスを割り当てられているのでは。
          確認のための通信をこのIPを発信元として行っている、と。

          ルーターとWiFiを別機器で構成するときは大抵ブリッジモードにしますが、その無線APにはたいていIPアドレスを割り当てますよね。中継器も然り。

  • by Anonymous Coward on 2017年12月30日 19時42分 (#3338372)

    言ってることはわかるんだけど、PCはたとえグローバルアドレスが割り振られても大過なく使えるようになっててほしいね。むしろ、LANの中だけ油断する方が筋が通らないというか。

    • 今時のセキュリティソフトウェアはIDSっぽい機能あったり、プロセスやポートで動作を制限したりとか出来るのにね。
      そんなことすら煩わしいと感じる人達が使えるほどに普及したと喜ぶべきか、そんな奴らは使うなよと憤慨すべきか…

      親コメント
    • by Anonymous Coward

      ショボいWebアプリをメンテしてた時、
      「外部に公開して、インターネットからアクセスできるようにしよう」
      って言われて、「うん、それムリ」って返したのを思い出した。

      あんなセキュリティがガバガバな奴を、防火壁の外に見せられるわけ無いじゃんかよ....
      確かに理想としては鉄壁のセキュリティを誇るべきだが、現実は散々だったんだよ。

    • by Anonymous Coward

      FWを設定できる人が絶対的に少ないだけ。
      正しい設定方法を説明したところで、ググって違う答えを見つければそっちを信じてしまうのでもうどうにもならない。

      • by Anonymous Coward

        Windowsファイアウォールのプライベートとパブリック設定、どれくらい認知されてるんだろ。

        • by Anonymous Coward on 2017年12月31日 8時44分 (#3338515)

          このトピックだと、
          「PCの設定によっては」となっているが、その辺はMSが非常によく考えて設計してあるのでよほど無茶しなければズカズカ入られたりしない。
          狙われたのは「IT資産管理ソフト」つまり、外からつながるようにFWを設定変更するようベンダが指示してるはず。
          FWがあってもよってたかって壊すんだからどうにもならない。

          親コメント
          • by Anonymous Coward

            なんかまさに、ファイアウォールのプロファイル設定が認知されているのか微妙なコメントが付いた気がしないでもない。

            Windowsファイアウォールの設定は本来はツールパッケージのインストーラが行えばよくて、ユーザーが設定する必要は基本的に無い。
            ただユーザーは、接続しているネットワークがプライベートなものなのかパブリックなものなのかは意識していなければならない。

            • by Anonymous Coward

              いやだから、なんとかいう資産管理パッケージが(直接インストーラでやったか、ユーザーに開けさせたかはともかく)パブリックネットワークにつながっているのにポートを開けたから問題が起きたわけで、グローバルIPが付けられたかどうかはあまり大きな問題じゃない。
              それなのに、ルータがグローバルIPを振ったから、のような問題提起が起こること自体が、FWに対する無知から来るものだ。
              と言いたいだけ。何度も言うけど、もう治らない。

              • by Anonymous Coward

                件のソフトは確かにポートを開けてるんだろうけど、ポートを開けること自体を責めてもしょうがない。だってそのポート使うんだろうからさ。開けたポートの対応はそいつが受けるんだから、そこに脆弱性があったらいけないよねって話。

                https://www.jpcert.or.jp/at/2016/at160051.html [jpcert.or.jp]

                グローバルアドレスを振らないとか、ポート自体を塞ぐとか、そういうので攻撃がおこらないってのは、実際にそうなんだろうけど、それを解決方法にしたら脆弱なままになる。

              • by Anonymous Coward

                言いたいのはつまり、間違っているのはファイアウォール(のポート)の設定とは限らないのでは、ってこと。

                「IT資産管理ソフト」は普通に考えてパブリックネットワークで使うものではないので、
                パブリックのプロファイルにポートの穴を開ける必要はない。
                ユーザーに設定させなければ、間違ってパブリックに穴を開けてしまう設定が行われることも無い。

                しかし、ユーザーが間違ってパブリック向けのネットワーク(件のWiFiとか)をプライベートネットワークに設定してしまう事はあるかもしれない。
                そこでそもそも、パブリックとプライベート(あとドメインも)設定って正しく認知されているのだろうかという疑問に至ったのが #3338469。

                それに対して#3338515がどうも話が繋がってないように見えたので、間を埋めようとしたのが#3338536、というワケ。
                一応補足だけ。

              • by Anonymous Coward
                つても情シスが社内のPCを乗っ取って自由に管理するためのソフトだし
                何でもやりたい放題できないと意味ない
              • by Anonymous Coward

                >つても情シスが社内のPCを乗っ取って自由に管理するためのソフトだし

                本来、この手のソフトこそ最高のセキュリティが担保されてなきゃいけないんだけどね。
                たとえばsshがガバガバだったら話にならんだろう。

                残念なことに「資産管理ソフト」の9割以上はプログラマの質を疑うレベルなんだけど。
                メモリリークはするわメールは消えるはPCフリーズするわ・・・

              • by Anonymous Coward

                挙げ句の果てに、普通に動いているシステムの動作まで妨害するからね、
                運用コスト削減を謳う割に、監視ツールで余計な工数が増えるのはありなのかと。

              • by Anonymous Coward

                OSはそういうものを許すプログラミングモデルを採用すべきではないし、技術者は危険な思想だと正しく認識するセンスを持つべき

  • by ogino (1668) on 2017年12月30日 21時34分 (#3338417) 日記

    手元にも LTE 内蔵 Windows タブレットがあるけど、ARM版 Windows とか、Always Connected PC が増えると(Large Scale NAT は置いといて)グローバル IP が割り振られるのも当たり前になるかも。

  • 今までは? (スコア:2, 興味深い)

    by Anonymous Coward on 2017年12月30日 20時00分 (#3338382)

    (USB)モデムとしてつかったら全部そうなんじゃないの?

    • by Anonymous Coward

      よく気が付いたな

      きじもとの発想はそういうことも含んでます

    • by Anonymous Coward

      MVNOだって個人向けプランでも未だにグローバルIPアドレスを割り当ててくれるOCN(MVNO・MVNEともに)みたいな所もありますしねぇ

    • by Anonymous Coward

      そうだよね。
      USB-LANアダプターとして接続してるならともかく。

    • by Anonymous Coward

      国内で売られているものはモデム機能が殺されていたと思う。
      5年くらい?前にb-mobileだかから買ったのはそうだった。
      どうしてそうしていたのかは知らない。

      • by Anonymous Coward

        同一機種か判りませんが、同じ位に日本通信で購入したUSBドングル式はOEM元のソフトで操作したらmodemモードに変わった気がします
        ただdocomo系のデータ専用SIMを刺すとCSのaccess denied見て圏外扱いになり接続できなくなるのでSMSか音声付が必要になるのと、実効速度が遅くなった記憶があります※この仕様は最近の安物でも変わっていませんが・・・
        日本通信的にはサポートコストがあがるだけなので無かった事にしたのではないでしょうか

        Windows10から「ネットワークが存在しないときは、ダイヤルする」オプションが無くなったので、切断された時の自動再接続がOS標準可能だけでは難しくなったので組み込みチックな用途ではめんどくさくなりました・・・

    • by Anonymous Coward

      2004年から2009年までPCMCIAでAirH契約していた。
      このシステムでは普通にグローバルIPアドレスがPCに付与されていた。
      あるときログに、ほんの短時間使ってる間の不審なSSHアクセスが残ってることに気づいた。

      それ以降USBと無線LANの片方、あるいは両方に使えるデバイスを5種類ほど使ってたが、いずれもプライベートアドレスを内側に振ったNATルータであった。
      モバイルルータにグローバルIPアドレスを振るオプションサービスも利用したが、これも同様。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...