TP-Link製無線LAN中継器が“DDoS攻撃”とも取られるほどの大量通信をNTPサーバーへ行っていたことが発覚!…

0

TP-Link製無線LAN中継器がNTPサーバーへ大量通信を行っていたことが発覚!


Ctrl Blogは13日(現地時間)、TP-Link製の無線LAN中継器が時刻同期を行うためのNTPサーバーに対して大量の通信を発生させていたことが報じられました。

それを受け、TP-Linkは20日、同事象を認めてNTPサーバーへの負荷が軽減されるように取り組んでいると発表し、ファームウェアをアップデートすることで修正を行なっており、各製品におけるファームウェア提供状況を案内しています。

NTPサーバーへのアクセスは頻度の問題で他の製品でも行われていることではありますが、今回のTP-Link製の無線LAN中継器が行なっていたのは5秒ごとに6つのDNSリクエストと、NTPクエリを送信しており、1台当たり月間715MBもの通信を行っていたということです。

そのうち、NTPサーバーとの通信については、毎月11.92MBを占めており、平均的なWindows搭載機種ではNTPサーバーとの通信が月間1.6KBほどですので、異常さがより際立ちます。ここまで多いと、DDoS攻撃とも受け取られるほどであるとして問題が浮き彫りになりました。

またTP-Linkが発表したプレスリリースでは、高い頻度で通信を行うと記載されていますが、よくもこれだけの通信を「高い頻度」という言葉で済ませたものだなと逆に感心します。

この異常な量の通信を行う不具合を修正したファームウェアが順次リリースされていますが、12月22日現在、すべての機種で対応できているというわけではありません。

今回の対象機種は以下の通りですが、「RE350 V1」および「RE305 V1」、「TL-WA850RE V4」以外についてはまだ対応できていない状況にあります。ということは今この時点でも、TP-Link社製の無線LAN中継器は「攻撃」を続けていわけです。

・RE350 V1
・RE305 V1
・TL-WA850RE V4
・RE650 V1
・TL-WA855RE V2
・TL-WA850RE V5
・TL-WA855 V3
・RE45 V1
・RE450 V2
・RE200 V2
・RE205 V1

さらにファームウェアの修正内容が記載されていますが、「また、ファームウェアのアップグレードにより中継器の管理画面へのアクセス時のみNTPサーバーとの通信を行うように修正を行なっており、進捗状況は現在以下のようになります。」とあり、この文面を信じるのであれば、わざわざユーザーが管理画面にアクセスしなければ、NTPサーバーとの同期が取られないように見て取れます。

正直なところ、ネットワーク機器の管理画面に一般ユーザーがそんな高頻度でアクセスする物なのでしょうか?取るべき対策としては、例えば、NTPサーバーとの同期を1日1回行うようにするといった頻度を下げることが挙げられるかと思われます。

そもそもなんでこのような理解に苦しむ実装がなされたのでしょうか……開発段階のレビューなどですぐに大きな問題だと気付くはずだと思うのですが。ひとまずは、ファームウェアのアップデートが出そろうまでは、ユーザーは待つしかありません。

また必ずしもこれらの製品の利用者がファームウェアをアップデートするとも限りませんし、問題は今後も続きそうですね……。

記事執筆:YUKITO KATO

■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・<更新>TP-Link製無線LAN中継器によるNTPサーバーへのアクセスに関して – TP-Link
・TP-Link repeater firmware squanders 715 MB/month – Ctrl blog

(引用元:livedoor news)