イスラエル企業JSOFのエキスパートチームは、何億ものIoTデバイスに影響する19件のゼロデイ脆弱性を発見しました。うち複数は重大な脆弱性です。厄介なことに、アップデートを受け取ることのないデバイスも存在します。これらの脆弱性はTreck社が20年以上にわたって開発してきたTCP/IPライブラリの中に見つかり、総称して「Ripple20」と名付けられました。
脆弱性の影響範囲
Treck社や同社のTCP/IPライブラリについて聞いたことがなくても、影響を受けるデバイスやベンダーの数を考えると、あなたの会社のネットワークにも1つくらい関連するデバイスがあるかもしれません。このライブラリはさまざまなIoTソリューションに使われているため、家庭やオフィスで使われるプリンターから産業や医療の現場で使われる機器まで、幅広く影響を受ける可能性があります。
このライブラリは、デバイスがインターネットとやりとりできるようにするための低レベルライブラリです。たいていは自社開発するよりも既製のライブラリを使用するほうが容易であるため、同社のライブラリは最初のバージョンがリリースされてから20年以上にわたり、数多くの企業によって利用されてきました。単純にそのまま適用する企業もあれば、独自のニーズに合わせて変更を加えたり、別のライブラリに組み込んだりする企業もありました。
それに留まらず、Ripple20の影響を受ける企業を探す過程で、調査チームは、ライブラリを購入した企業がライブラリをリブランディングしている例や、別の会社に吸収された例にも遭遇しています。こうした事情から、このライブラリを使用するデバイスの実数を見積もるのは容易なことではありません。「何億もの」は仮の見積もりであって実際は数千億に上る可能性がある、と調査チームは述べています。
また、このかなり複雑なサプライチェーンは、修正パッチを受け取ることができないデバイスが存在する理由でもあります。
どのような脆弱性か、どのように危険なのか
「Ripple20」という名称は、深刻度の異なる19件の脆弱性を総称したものです。全脆弱性の技術的詳細については、夏の終わりごろに開催されるBlack Hatカンファレンスにて発表予定であるとのことですが、少なくとも4つはCVSSスコアが9.0以上の深刻な脆弱性であることが明らかになっています。
ライブラリの最新バージョンには存在しない脆弱性が4件あります。ただ、このライブラリはセキュリティ上の理由以外で過去に何度かアップデートされていますが、古いバージョンを使い続けるベンダーは少なくありません。
JSOFは、攻撃者が悪意あるコードをIoTデバイス内に何年にもわたって隠すことが可能であったと指摘しています。また、攻撃者がこれら脆弱性を利用してデバイスを完全に掌握し、プリンターからデータを盗んだりデバイスのふるまいを変えたりする可能性に触れ、任意のコードのリモートコード実行を許す深刻な脆弱性が2つ含まれるとも述べています。脆弱性の一覧とデモ動画は、調査チームのWebサイト(英語)で見ることができます。
対策
TreckのTCP/IPライブラリを使用している企業へ向け、JSOFは、開発者へ問い合わせること(英語フォーム)と、ライブラリを最新バージョンにアップデートすることを推奨しています。それができない場合には、デバイス上の脆弱な機能をすべて無効化してください。
脆弱性を抱えるデバイスを日常業務で使用している場合には、まず、自分たちの使用する機器に脆弱性が存在するかどうかを確認する必要があります。言うほど簡単なことではなく、地域のCERTセンターやベンダーの支援が必要となる場合があります。これに加え、以下の作業の実施をお勧めします。
- 全デバイスのファームウェアをアップデートする(今回の脆弱性があろうとなかろうと、実行をお勧めします)。
- 重要なIoTデバイスのインターネット接続を最小限にとどめる。
- オフィスのネットワークを、このようなデバイスが使用されているネットワークから切り離す(こちらも、今回の脆弱性とは無関係に推奨します)
- IoTデバイスが接続するネットワークでDNSプロキシを構成する。
当社からは、企業ネットワーク内での異常なアクティビティを検知可能なセキュリティソリューションの使用をお勧めします。アノマリー検知は、Kaspersky Threat Management and Defenseが備える数多くの機能の一つです。