メジャーなTCP/IPスタックで脆弱性が発見され、膨大な数のIoT機器が影響を受けることが判明した。パッチの適用が最善策だが、適用できないIoT機器を保護する方法はあるのか。
多くのIoT機器に9つのDNS脆弱(ぜいじゃく)性があると考えられる。この9つの脆弱性はForescout TechnologiesのResearch LabsとJSOFが発見・公開したもので、「NAME:WRECK」と総称されている。
NAME:WRECKは、よく使われている4つのTCP/IPスタックである「FreeBSD」や「IPnet」(Wind River Systems)、「Nucleus NET」(Siemens)、「NetX」(Express Logic)に影響する。
FreeBSDはファイアウォールや一部の商用ネットワークアプライアンス、他の著名なオープンソースプロジェクトでも使われている。Nucleus NETは、分かっているだけでも30億を超える医療機器、航空電子工学システム、ビルオートメーションに組み込まれている。NetXも医療機器、SoC(System on a chip)、複数のプリンタ、産業用制御システムで動作している。そのため、NAME:WRECKは政府機関から医療、製造、小売りに至る複数の業種・業界の企業や組織に影響する。攻撃者がNAME:WRECKをDoS(サービス拒否)攻撃やRCE(リモートコード実行)攻撃に悪用すれば、ネットワークは壊滅的な打撃を受けたり制御を奪われたりする恐れがある。
ForescoutのResearch Labsのダニエル・ドス・サントス氏(リサーチ部門マネジャー)は次のように話す。「NAME:WRECKは大規模な混乱を引き起こす恐れがある深刻で広範囲にわたる脆弱性だ。脆弱性があるバージョンのTCP/IPスタックを実行する全ての機器にパッチを適用する必要がある」
「ネットワークと機器を保護しない限り、NAME:WRECKが悪用されるのは時間の問題だ。政府は大規模なデータハッキングに見舞われ、メーカーは壊滅的な打撃を受け、ホテルは利用客の安全やセキュリティが脅かされる恐れがある」
FreeBSD、Nucleus NET、NetX自体には既にパッチが適用された。だが、デプロイ済みのIoT機器にパッチを適用するのは難しい。
この観点から、ForescoutとJSOFは次のような緩和策を推奨している。
2020年12月、Forescoutは「AMNESIA:33」と呼ぶ33個の欠陥について警告した。これらの欠陥は、150社を超えるメーカーが製造した機器に影響する。AMNESIA:33は米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)が緊急警報を発するほどの規模だった。
Copyright © ITmedia, Inc. All Rights Reserved.
トランプ氏圧勝で気になる「TikTok禁止法」の行方
米大統領選で共和党のトランプ前大統領が勝利した。これにより、TikTokの米国での将来は...
インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...
SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...