一部のモバイルWiFiルーター、USB接続するとPCにグローバルIPアドレスが割り当てられる仕様に 21
ストーリー by hylom
確かにそれは怖い 部門より
確かにそれは怖い 部門より
あるAnonymous Coward 曰く、
一部のモバイルWiFiルーターは、PCにUSB経由で接続して利用した際にPCに直接グローバルIPアドレスを割り当てるという挙動をするそうだ。一部のマルウェアはこれを利用してPCを狙った攻撃を行っているという(徳丸浩のTweet、INTERNET Watch)。
PCに直接グローバルIPアドレスが割り当てられることで、PCの設定によってはインターネットから直接PCの全ポートへのアクセスが可能になるおそれがある。これを利用し、PCにインストールされているソフトウェアの脆弱性を攻撃してマルウェアに感染させるという攻撃が実際に発生しているそうだ。具体的には、IT資産管理ソフト「SKYSEA Client View」の脆弱性が狙われたとの報告があるという。
ルーターモードでは無くなることが重要な注意点 (スコア:5, 興味深い)
元記事には明記されているけど、スラドでは
ルーターではなく、ブリッジになることが明記されていない。
それは必然かもしれないけど
明記されないと、見落として文脈を見失う人も多いかもね。
で、これが、給電目的でPCとUSB接続したら
意図せず、ルーターモードでは無くなるといういうなら
やっかいな問題のような気もします。
昔なら、USB接続してもUSBモデムになるだけで
USB-シリアル接続モデム相当で、設定せずに
グローバルIPアドレスが貰えたりはしなかった。
RNDISで、自動接続されるにしてもルーターモードなら
その機能を知らず、無線LAN接続のままのつもりで
「給電していると、通信速度が安定するなぁ〜」
みたいな間抜けな発想で解釈している人も、大過なかった。
でも
それが、ルーターモードではなく
USB-シリアル接続モデムに近い性質を与えるべく
ブリッジ接続になるような仕様だとすると
素人には危なく
玄人にも、見落としによる危険がある
という話なのかなぁ…
一時期LTEモデル欲しかったけど、セキュリティ考えると
「やっぱ、間にルーターあったほうがいいや」と思っちゃうもんなぁ…
Re: (スコア:0)
今のスラドだとルータとブリッジの違いを理解してない人のほうが多そう
どっちのIP? (スコア:4, 興味深い)
IPv4なら贅沢なアドレスの使い方してるな、としか。
IPv6なら当たり前だろ、としか。
Re: (スコア:0)
うむ、(IPv4だとして)アドレスが足りないからキャリアグレードNATかけて引き上げるなんて話もチラホラあるのに今どきぜいたくだなーと思った。
Re:いまどきのスマホなら普通IPv6では (スコア:0)
Docomo(のMVNO)とSBで亀が踊る [kame.net]ことを確認している。
テザリングした端末も同様。
Always Connected PC とか (スコア:3)
手元にも LTE 内蔵 Windows タブレットがあるけど、ARM版 Windows とか、Always Connected PC が増えると(Large Scale NAT は置いといて)グローバル IP が割り振られるのも当たり前になるかも。
全ての機器にグローバルアドレスを (スコア:2, すばらしい洞察)
言ってることはわかるんだけど、PCはたとえグローバルアドレスが割り振られても大過なく使えるようになっててほしいね。むしろ、LANの中だけ油断する方が筋が通らないというか。
Re:全ての機器にグローバルアドレスを (スコア:1)
今時のセキュリティソフトウェアはIDSっぽい機能あったり、プロセスやポートで動作を制限したりとか出来るのにね。
そんなことすら煩わしいと感じる人達が使えるほどに普及したと喜ぶべきか、そんな奴らは使うなよと憤慨すべきか…
Re: (スコア:0)
ショボいWebアプリをメンテしてた時、
「外部に公開して、インターネットからアクセスできるようにしよう」
って言われて、「うん、それムリ」って返したのを思い出した。
あんなセキュリティがガバガバな奴を、防火壁の外に見せられるわけ無いじゃんかよ....
確かに理想としては鉄壁のセキュリティを誇るべきだが、現実は散々だったんだよ。
Re:全ての機器にグローバルアドレスを (スコア:1)
そこは「VPNいれればできますよ」って言っとくところじゃない?
Re: (スコア:0)
別ACだけど、クラウドに仮想ルータを立てて、社内とモバイルで別々のVPNから接続し、その奥にある仮想マシンにアクセス、ならやってる。
でもコストと利便性を考えると、客先にどこまで薦められるかという気も
Re: (スコア:0)
FWを設定できる人が絶対的に少ないだけ。
正しい設定方法を説明したところで、ググって違う答えを見つければそっちを信じてしまうのでもうどうにもならない。
Re: (スコア:0)
Windowsファイアウォールのプライベートとパブリック設定、どれくらい認知されてるんだろ。
Re: (スコア:0)
このトピックだと、
「PCの設定によっては」となっているが、その辺はMSが非常によく考えて設計してあるのでよほど無茶しなければズカズカ入られたりしない。
狙われたのは「IT資産管理ソフト」つまり、外からつながるようにFWを設定変更するようベンダが指示してるはず。
FWがあってもよってたかって壊すんだからどうにもならない。
今までは? (スコア:2, 興味深い)
(USB)モデムとしてつかったら全部そうなんじゃないの?
Re: (スコア:0)
よく気が付いたな
きじもとの発想はそういうことも含んでます
Re: (スコア:0)
MVNOだって個人向けプランでも未だにグローバルIPアドレスを割り当ててくれるOCN(MVNO・MVNEともに)みたいな所もありますしねぇ
Re: (スコア:0)
そうだよね。
USB-LANアダプターとして接続してるならともかく。
Re: (スコア:0)
国内で売られているものはモデム機能が殺されていたと思う。
5年くらい?前にb-mobileだかから買ったのはそうだった。
どうしてそうしていたのかは知らない。
Re: (スコア:0)
同一機種か判りませんが、同じ位に日本通信で購入したUSBドングル式はOEM元のソフトで操作したらmodemモードに変わった気がします
ただdocomo系のデータ専用SIMを刺すとCSのaccess denied見て圏外扱いになり接続できなくなるのでSMSか音声付が必要になるのと、実効速度が遅くなった記憶があります※この仕様は最近の安物でも変わっていませんが・・・
日本通信的にはサポートコストがあがるだけなので無かった事にしたのではないでしょうか
Windows10から「ネットワークが存在しないときは、ダイヤルする」オプションが無くなったので、切断された時の自動再接続がOS標準可能だけでは難しくなったので組み込みチックな用途ではめんどくさくなりました・・・
Re: (スコア:0)
2004年から2009年までPCMCIAでAirH契約していた。
このシステムでは普通にグローバルIPアドレスがPCに付与されていた。
あるときログに、ほんの短時間使ってる間の不審なSSHアクセスが残ってることに気づいた。
それ以降USBと無線LANの片方、あるいは両方に使えるデバイスを5種類ほど使ってたが、いずれもプライベートアドレスを内側に振ったNATルータであった。
モバイルルータにグローバルIPアドレスを振るオプションサービスも利用したが、これも同様。