ケーブルモデムのハッカー、同軸ケーブルを悪用する | ScanNetSecurity
2024.03.29(金)

ケーブルモデムのハッカー、同軸ケーブルを悪用する

Kevin Poulsen(SecurityFocus)
2004年2月5日 22:31 GMT

国際 海外情報
Kevin Poulsen(SecurityFocus)
2004年2月5日 22:31 GMT

 埋め込みシステムの難解な言語に没頭しているオタクたちのグループが一般のケーブルモデムのブランドに対応するファームウェアを自身でカスタマイズしてリリースした。それには、ロード機能も備わっている。その開発により、帯域幅の制限を無効化する人やサービスの不正使用者が以前よりも活動しやすくなった。また、ケーブルモデム通信のプライバシーに関して長年言われてきた仮説が覆されそうになっている。

 先月 Sigma と呼ばれるプログラムの決定バージョンがリリースされた。それ以来、日に 350 回から 400 回ほどダウンロードされているという。同プログラムは、Motorola Surfboard シリーズの特定モデルの不揮発性メモリに入るよう設計されており、同プログラムはその製品の通常の機能と並行して動作する。ユーザは同プログラムを使用して、自身のケーブルモデムを完全に制御できる(それは、予めサービスプロバイダ用に確保されていた権限だ)。

 このプロジェクトは、TCNiSO と呼ばれるコーダ(コードを書く人)集団により行われている。世界中におよそ 10 名ほどの活動メンバーがおり、帯域幅制限の無効化を目指すコミュニティから援助を受けている。そのコミュニティは、TCNiSO が行う研究やサービス・プロバイダが課す帯域幅の制限を無効化するための無償ハッキングツールに依存しているスピード狂のインターネットユーザの集まりだ。但しそれは、たとえ法に触れていなくても、サービスプロバイダとのサービス内容の合意契約に反する行為である。彼らは、Sigma の誕生を喜んだ。何故なら、Sigma を使用することでモデムの構成を簡単に変更できるからだ。つまり帯域幅の制限を取り払うのである。さらに一部のシステムでは、"登録していない" モデムを使って無料の匿名サービスを得ることができる。「私は 2 年前から TCNiSO のことを知っている。彼らの技術を使って様々なことをしたよ。Sigma は私が知っているなかで最高のプログラムだ」と電子メールのインタビューで帯域幅制限を無効化するカナダ人ユーザは述べた。

 Sigma を機能させるには、一般的に Surfboard がカスタム・コードを受け入れるようにする TCNiSO 製のハードウェア・ハッキング・ツールを使用する。DOCSIS (Data Over Cable Service Interface Specification) という業界標準では、ケーブルモデムはサービス・プロバイダによりパイプで送られた内部プログラミングへの変更のみ許可する。つまり、たとえ自身が所有するモデムであってもユーザが認められていないコードを実行することはできない(Xbox スタイル)。

 しかし TCNiSO グループは、Surfboard モデムには文書化されていない残留コンソールポートが含まれており、それを通じて起動プロセスが制御可能であることを発見した。TCNiSO グループはそのシリアルポートに入り込む方法を詳しく記した文書を公開した。それは、モデムを開き、回路基板上で 2 本の線を特定ポイントに接続する。そして、その信号を RS-232 レベルに切り替え、安価なチップを介して経路指定を行うのだ。そうすることで、ユーザは端末プログラムを実行している PC にプラグインできる。はんだごてを使用しているどちらかというとスマートではないユーザはプロセスを簡素化するために、TCNiSO の Web サイトから特別な変換ケーブルを購入できる。

 そしてユーザはモデムを単に再起動するだけでよい。その文書はポートのセクションで起動プロセスに触れている。それによると、ユーザはキーストロークで割り込み、新しい起動文字列を入力することによりリダイレクトが可能になる。モデムは FTP サーバからの起動が命令される。この場合、モデムは Sigma を実行するユーザ自身が PC で稼動しいるものとする。新しいファームウェアがロードされると、それはモデムの一部となり、そのプロセスを繰り返す必要はない。

 Sigma をインストールしたケーブルモデムは、それだけで万能コンピュータとなる。強力な MIPS プロセッサに組み込まれているモデム本来のオペレーティング・システムは VxWorks で、MARS ROVER が使用しているのと同じ OS だ。Sigma はその隠れた機能のロックを解除するのだ。つまり、ユーザはそのモデムにログインし、VxWorks シェルと対話できる。あるいは、カスタム Web インターフェースを閲覧し、通常サービスプロバイダによりリモートから制御されるコマンドの実行やパラメータの変更を容易に行うことができるのだ。

●傍受の危険性

 帯域幅の制限を無効化することは愉快なことだ。しかし、ファームウェアへのハッキングに伴うセキュリティ上の問題は、単に帯域幅の拡大やサービスの窃取だけに留まらない問題を含んでいる。ケーブルモデム・ネットワークのトポグラフィーは通常、同じ回路上の近隣内で 500 から 1000 世帯の間とされている。そのインターネット・トラフィックは全て同じ同軸ケーブルで混合している。契約者は自身のモデムによって隣近所のトラフィックの傍受を阻止し、契約者自身に向かうパケットのみを渡すようプログラムされているのだ。TCNiSO のハッキング技術を組み込むことで、悪意のある人物はカスタムコードを書き、全ての生のネットワーク・トラフィックを自身の PC に転送することが可能になるだろう。

 セキュリティ専門家以外は総じて、昨今のケーブルシステムに関して傍受の危険性はないと高を括っていた。そう考える根拠は、ケーブル会社が顧客のトラフィックを暗号化していると思っているからだ。それは 1999 年以降、全ての DOCSIS 認証モデムに組み込まれた機能である。確かに暗号化が傍受を阻止しているかもしれない。しかし、一般に導入されている DOCSIS 標準のバージョンであるバージョン 1.0 において、暗号化オプションはあくまでもオプションに過ぎない。つまり、デフォルトでは無効になっているのだ。CableLabs のセキュリティ・アーキテクトの責任者 Oscar Marcia 氏は「セキュリティ機能がモデム内に組み込まれている。しかし、肝心なのは [サービスプロバイダが] それをいつ有効にするかだ」と述べている。


[情報提供:The Register]
http://www.theregister.co.uk/

[翻訳:関谷 麻美]

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×