冷蔵庫は「無実」――シマンテックがスパム発信元を調査：NATが影響、ただし「将来的には元凶となる恐れ」

[高橋睦美，＠IT]

　「テレビや冷蔵庫など、インターネットにつながったスマート家電から75万通以上のスパムメールが発信された」という報道に関して、シマンテックは2014年1月27日、実際に感染していたのは同じホームネットワーク内のWindows搭載PCであり、冷蔵庫は「無実だ」とするブログを公開した。

　この報道は、「2013年12月23日〜2014年1月6日にかけて、家庭用ルーターやテレビ、それに少なくとも1台の冷蔵庫を含む10万台以上のコンシューマー機器から、75万通以上の迷惑メールが発信された」というプルーフポイントの発表を基にしたもの。あらゆる機器がインターネットにつながる「モノのインターネット」（Internet of Things=IoT）時代のリスクを示す事件だとして、大きな注目を集めていた。

　しかし、シマンテックが一般に公開された情報およびハニーポットなどから得られた情報に基づいて調査を進めたところ、今回のスパムの発信元は、Windows PCに感染した「W32.Waledac」（Kelihos）が形作るボットネットによるものだったことが判明した。冷蔵庫は、「感染したコンピュータとたまたま同じネットワーク上にあったに過ぎない」（シマンテックのブログ）。

　こうした誤解が生じた原因は、家庭用ルーターに設定されているネットワークアドレス変換（NAT）機能にある。外部からNAT越しに見た場合、実際に通信を行っているのがルーターなのか、そのルーターの内側に置かれているデバイスなのか、そして複数あるデバイスのうちどれなのか、特定が難しい。

　加えて、ポートフォワーディング設定が発信元特定をより困難にした。例えば、「外部からテレビ予約を行いたい」などの理由でデジタルビデオレコーダーへのポートフォワーディングを有効にしていると、レコーダーだけがそのIPアドレスを使っている唯一のデバイスに見える恐れがある。

　こうした要因が重なって、冷蔵庫に「濡れ衣」が着せられた可能性がある。

ポートフォワーディング設定によって、外部からは「冷蔵庫」が発信元のように見えた可能性がある（シマンテックのブログより）

　実際、シマンテックがWaledacに感染したコンピューターのパブリックIPアドレスを調べたところ、エンターテインメントシステムやその他家庭用デバイスに到達した。しかしそれらはたまたま、Waledacに感染したコンピューターと同じネットワークを共有し、ルーターを介して公開されていただけだという。

　だからといって、今後、IoTを使った攻撃の可能性がないというわけではない。シマンテックは同時に、Linuxベースのルーターやカメラなどに感染するワーム「Linux.Darlloz」を発見したことにも触れている。このワームは、他のワーム「Linux.Aidra」を確認するとそれを駆除しようと試みるなど、IoTでの「縄張り争い」を繰り広げている。これはちょうど、2004年前後の「ワーム戦争」を連想させるものだという。

　シマンテックは、「近い将来に冷蔵庫が本当にスパムを送信し始めたとしても、驚くほどのことではない」とし、PCの場合と同様、

• IoTデバイス上のソフトウェアを最新の状態に保つ
• ルーターの内側にデバイスを置く
• デフォルトのパスワードはすべて安全性の高いパスワードに変更する

といった対策を取るよう勧めている。

　「今回IoTデバイスの罪は晴れたが、将来的にはスパム送信の元凶となる恐れがある」（同社）。