多数のIoT機器が抱えるDNS脆弱性 パッチ適用できない機器はどうする？：NAME：WRECKの衝撃

メジャーなTCP/IPスタックで脆弱性が発見され、膨大な数のIoT機器が影響を受けることが判明した。パッチの適用が最善策だが、適用できないIoT機器を保護する方法はあるのか。

[Alex Scroxton，Computer Weekly]

　多くのIoT機器に9つのDNS脆弱（ぜいじゃく）性があると考えられる。この9つの脆弱性はForescout TechnologiesのResearch LabsとJSOFが発見・公開したもので、「NAME：WRECK」と総称されている。

関連記事

• DNSのセキュリティを強化する2つの新プロトコル
• DNSの守り方──DNSプロキシサービスのススメ
• DNS関連のセキュリティリスクトップ3とその対策
• 「DNSの防御」から「DNSによる防御」へ　DNSを応用した新技法
• あなたのDNSデータが教えてくれる3つの知見

　NAME：WRECKは、よく使われている4つのTCP/IPスタックである「FreeBSD」や「IPnet」（Wind River Systems）、「Nucleus NET」（Siemens）、「NetX」（Express Logic）に影響する。

　FreeBSDはファイアウォールや一部の商用ネットワークアプライアンス、他の著名なオープンソースプロジェクトでも使われている。Nucleus NETは、分かっているだけでも30億を超える医療機器、航空電子工学システム、ビルオートメーションに組み込まれている。NetXも医療機器、SoC（System on a chip）、複数のプリンタ、産業用制御システムで動作している。そのため、NAME：WRECKは政府機関から医療、製造、小売りに至る複数の業種・業界の企業や組織に影響する。攻撃者がNAME：WRECKをDoS（サービス拒否）攻撃やRCE（リモートコード実行）攻撃に悪用すれば、ネットワークは壊滅的な打撃を受けたり制御を奪われたりする恐れがある。

　ForescoutのResearch Labsのダニエル・ドス・サントス氏（リサーチ部門マネジャー）は次のように話す。「NAME：WRECKは大規模な混乱を引き起こす恐れがある深刻で広範囲にわたる脆弱性だ。脆弱性があるバージョンのTCP/IPスタックを実行する全ての機器にパッチを適用する必要がある」

　「ネットワークと機器を保護しない限り、NAME：WRECKが悪用されるのは時間の問題だ。政府は大規模なデータハッキングに見舞われ、メーカーは壊滅的な打撃を受け、ホテルは利用客の安全やセキュリティが脅かされる恐れがある」

　FreeBSD、Nucleus NET、NetX自体には既にパッチが適用された。だが、デプロイ済みのIoT機器にパッチを適用するのは難しい。

　この観点から、ForescoutとJSOFは次のような緩和策を推奨している。

• 脆弱なTCP/IPスタックを実行している機器を見つけ、インベントリの作成を試みる。Forescoutは、そのためのオープンソーススクリプトを公開している。
• パッチを適用できない場合は、外部との通信経路を制限して脆弱な機器を分離する。
• 影響を受ける機器のサプライヤーがパッチを提供するのを監視し、影響を受けるインベントリ用に収支計画を立てる。
• DNSトラフィックを監視する（NAME：WRECKを悪用するには、悪意を持ったパケットで応答するため悪意のあるDNSサーバが必要だからだ）。
• 全てのネットワークトラフィックを監視して、DNS、マルチキャストDNS、DHCPクライアントに影響する既知の脆弱性またはゼロデイ攻撃を試みる悪意のあるパケットを調べる。

　2020年12月、Forescoutは「AMNESIA:33」と呼ぶ33個の欠陥について警告した。これらの欠陥は、150社を超えるメーカーが製造した機器に影響する。AMNESIA:33は米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）が緊急警報を発するほどの規模だった。