なんか製品回収みたいなタイトルになりましたが、
ウチはTP-LINK社と一切関係ない事を最初に申し上げておきます。まー、当たり前か。
このエントリを作成するにあたって、出典を明示していくつかTweetを引用させて頂いておりますが、
問題ある場合はご連絡下さいませ。→@kishiwadapeople
あと、ツッコミどころがありましたら多分訂正いたしますのでご指摘下さいませ。
はじめに(結論)
インターネット資源の適正利用のためTP-LINK製品をお使いの皆様に於かれましては、
TP-LINK製品を送信元とするインターネット向け通信を遮断して頂きたい。
つまり、ルータのパケットフィルタ設定でTP-LINKのIPアドレスからインターネット向けアクセスを拒否して欲しいのです。
これを行わない場合、TP−LINK製品を接続しただけで中国のDDoS攻撃に協力してしまうことになります。
または、ファームウェアを最新に更新し、後述する問題を緩和して頂きたい。
あまり緩和されませんでした。(2018/01/21追記)
Macでスリープ解除時にWiFi切断される事象の頻発が認められたので、
品質的な問題で廃棄しました。(2018/01/29追記)
経緯
ここつい数日前に以下のようなTweetを拝見したのが始まりです。
えっ、マジで。俺1週間前にTP-LINK製品(無線APのRE450)デビューしたばっかだよ?
中国製だけど評判良さそうなので大丈夫かなーとか思いながら買ったのに!
気になったので調べてみることに。
以下の公式サイトによると、
<更新>TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して
http://www.tp-link.jp/news-details-17792.html
この現象は、中継器がNTPサーバーへのアクセスを試みることで、インターネット接続の有無の確認を行うために発生しております。
高い頻度でチェックを行うことでインターネット接続の確認がリアルタイムに可能となり、またユーザーの利便性向上のため、管理画面にて接続状況を表示するため使用しております。
このような動作はネットワーク機器における一般的な挙動ですが、
弊社製品は頻度が高いためこの動作によって各NTPサーバーに負荷を与えてしまっておりました。
と釈明しています。
・本来時刻合わせであるNTPを使って用途外であるインターネット接続性を確認する理由
・そもそもL2機器(IPアドレス関係ない)である単なる中継器がインターネット接続性を知る必要性
・TP-LINK社が自前で持つサーバではなく、無関係のNTPサーバをタダ乗り利用している理由
などと突っ込みどころは無数にあるのですが、
「ネットワーク機器における一般的な挙動」などと言い切ってるのが本当にリカイフノウです。
中国のネットワーク機器ではそうなんでしょうか。意味わかんね。
これらが何故良くないかを簡単に(注:雑に)図示しました。
TP-LINK製品といえばAmazonでも頻繁にタイムセールに並び、
コスパの良さから中継器などはベストセラー扱いを受けたりする製品です。
(だからワタクシも買ったのですが・・w)
日本でもめちゃくちゃ多くの人が使っているかと思われます。
先の英語の文献では2016年に1億6100万台を販売したとありましたから、
超単純計算で月間715MBの1億6100万台分→1秒間に42GBのNTPリクエストが、
”標的”のNTPサーバに襲いかかるわけです。
まあ売った製品が全部動いているわけでもないでしょうから、
仮に実稼働台数を100万台(注:何ら根拠はない)としても秒間267MBのNTPリクエストです。
要するに事実上のDDoS攻撃なのです。(しかも中国による。)
DDoS攻撃はその仕組み上、回避するのが大変難しい(か、莫大な費用を払って対策する)ので、
やられた方は泣き寝入りに近いことになります。
事実、今回”標的”となった福岡大学のNTP運用も限界を迎えており、クローズしようとしています。
●公開NTPサーバの運用と課題
http://enog.jp/wp-content/uploads/2017/10/20171027_ENOG47_tanizaki.pdf
注:2005年くらいから悲鳴を上げているので別にTP-LINKのせいだけではない
(ただし名指し指摘はされている)
検証と対策
先述したとおり、私はTP-LINKのRE450をAPモードで使用しています。
ルータ(RTX1200)のパケットフィルタでTP-LINKから送信されるパケットを落とす設定を入れて、
そのログを観測してみました。
これは2017/12/22 00:30:05〜10の約10秒間のログなのですが、
物凄い勢いでNTPリクエスト(1〜2回/秒程度)されているのが分かります。
※<IPアドレス>:123がNTP通信にあたります。
なお、133.100.9.2というのが先述の福岡大学のNTPサーバです。
しっかり通信しています。
普通の家庭用ルータではインターネット向けのログはわざわざ見られませんし、
ましてやインターネット向けのNTPアクセスはまず止めてませんから、
これらの攻撃的アクセスは秘密裏に行われるわけです。
っていうかこのニュースを知って調査し、ルータで通信を落とすまで、
私の環境からも”攻撃”に加担しちゃってた訳です。なんともはや・・。
ちなみにTP-LINKのいう
中継器がNTPサーバーへのアクセスを試みることで、
インターネット接続の有無の確認を行うために発生しております。
ですが、以下の管理画面の「インターネットステータス」がそれにあたると思われます。
(緑帯のところね)
・・・え、マジでこれだけのために?(しかも「不明」って)
なお、TP-LINKからの通信を許可しても拒否しても結果は変わりませんでした。
(連続で成功しないと変わらない、とかだろうか?)
SNSでは不買みたいな話題にもなってますし、このようなありえない実装が
明るみに出ちゃった以上TP-LINK製品の使用は避けるべきです。
が、せっかく買ったのに勿体無いというのも分かります(私もそうだ)から、
とりあえずパケットフィルタだけはして欲しいのです。
L2機器である無線AP(中継器)の役割においては、
IPアドレスは通信に関係ない(設定画面の表示や時刻合わせするためだけに使われる)ので
TP-LINK発のIP通信を全部止めても全く影響ありません。遠慮なくパケットフィルタして大丈夫です。
#DHCP機能などを兼用させる場合、関係なくもないが少なくともインターネットアクセスは不要
#TP-LINKルータの場合は・・・どう設定すんのかね?
取り急ぎNTPとDNSだけ止めれば良いが、中国のモラルだと正直何されるか分かったものではないので、
大事な情報をすっぱ抜かれる前にIPアドレス指定で止めておいたほうが無難でしょう。
#TP-LINK製品に限らず、中国のパクリゲームアプリなども同様だと思う。
#↑若干の偏見があるのは認めるので、人様に迷惑かけない程度に好きに設定して下さい。
正直攻撃に加担させるからコスパ良くしてるんではないかとすら思う。(←これは妄想の域)
ファームアップした(2018/01/21追記)
ファームアップにより事象が改善するというTP-LINK社からの発表がありましたので、
適用してみました。RE450 V1では、171215がそれにあたります。
確か管理画面にアクセスした場合にだけインターネット確認をする仕様にしたとかで、
いや、NTP通信自体はやめねえのかよとか思いましたが、まあ能動的な攻撃は抑止できるでしょう。
http://www.tp-link.com/jp/download/RE450_V1.html#Firmware
1. インターネット接続状況の確認方式の変更により余計な通信が減少しました。
これね。
適用後、ルータのログを削除してからしばらく放置し、ログを確認しました。
見やすくするためNTP通信のみに絞ってます。
管理ページにアクセスした時だけNTPアクセスするようにしたらしいけど・・・
・・・うん。治ってないネ!もういいです。氏ね。
あとがき
まず、TP-LINK製品をお使いになられる上ではデフォルト、接続しただけで他人様に迷惑をかける、
極端な表現で言えば未対策のTP−LINK製品を接続しただけで中国のDDoS攻撃に協力してしまう 事をご認識頂きたい。
そして「はじめに」で述べた対策を講じて頂きたい。
インターネット資源の適正利用がなされる事を願ってやみません。
私の情報発信力なんてたかが知れてるので、IPAか何処かが注意喚起してくれないかなあ・・・。
