情報セキュリティ白書2022 220908 1.2 情報セキュリティインシデント別の手口と対策 1.2.5 ソフトウェアの脆弱性を悪用した攻撃 (3)IoT 製品を対象とした攻撃
情報セキュリティ白書2022 220908
1.2 情報セキュリティインシデント別の手口と対策
1.2.5 ソフトウェアの脆弱性を悪用した攻撃
(3)IoT 製品を対象とした攻撃
2021 年度も、多数の IoT 製品に影響を与える脆弱
性が公開されている。本項では、「NAME:WRECK」
と呼ばれる脆弱性を紹介する。
(a)多数の IoT 製品に影響する脆弱性
2021 年 4 月12日、米国のサイバーセキュリティ企業で
あるForescout Technologies, Inc. 及びイスラエルのサ
イバーセキュリティ企業であるJSOF Ltd.より、「NAME:
WRECK」と呼ばれるゼロデイ※ 98 の脆弱性群に関する
情報が公開された※ 99。NAME:WRECK は、TCP/IP
スタック※ 100 に DNS プロトコルのメッセージ圧縮機能を
持つ FreeBSD や Nucleus NET 等の IoT 機器向け
の OS やソフトウェアライブラリに発見された 9 個の脆弱
性の総称である。これらの脆弱性が悪用された場合、
攻撃者により、IoT 製品を経由して外部からネットワーク
に侵入され、ブロードキャストによって、ネットワーク内の
脆弱性がある機器の制御を奪取されたり、サービス妨
害等を引き起こされたりする可能性があるという。
当該製品は、医療機器や制御システム等の組み込み
機器で広く利用されていることから、少なくとも1 億台の
機器が影響を受ける可能性があるとされる※ 101。
今後も、NAME:WRECK の脆弱性が解消されてい
ない IoT 製品を狙った攻撃が発生する可能性があり、
対策が必要である。
(b)IoT 製品を対象とした攻撃への対策
前述の NAME:WRECK のような脆弱性の存在を踏
まえて、IoT 製品を安全に保つためには、以下の対策
が必要となる。
• 製品開発者が行うべき対策
– IPA や JPCERT/CC 等の各組織が公開している
IoT 製品の開発ガイドライン等を基に、企画・設計
等を含めたすべての開発工程で実施すべきセキュ
リティ対策を明確にする(ガイドラインについては
「3.2.4(1)IoT 関連セキュリティガイド等の改訂・新
規発行」参照)。
– 製品で使用する部品の調達に関し、契約等におい
て脆弱性対処の項目を含める。
– 製品出荷後に修正プログラムによりアップデートが実
施できるように製品に更新機能等を組み込む。
– 製品に関する脆弱性が発見・報告された場合、速
やかに修正プログラムを公開する。
– 安全に運用するための注意点等の情報を製品利
用者に提供する。
• 製品利用者が行うべき対策
– 製品開発者が提供する安全に運用するための注
意点やアップデート方法等の情報を確認した上で利
用する。
– 攻撃者に脆弱性を悪用されるリスクを低減するた
め、製品を利用するにあたって問題がなければ、イ
ンターネットから直接 IoT 製品にアクセスできないよ
うにする。
– 脆弱性情報を収集する。具体的には、IPA が公
開している「JVN iPedia ※ 102」や、IPA から送付さ
れるセキュリティ対策情報のメールニュース、製品
開発者の Web サイトで公開される情報等を定期的
に確認する。
– 製品開発者が修正プログラムを公開した場合、速
やかに修正プログラムを適用する。
所感
脅威の存在。ステルス的に入り込み、サブマリーン的に
いきなり浮き出て攻撃。
効果的だな。非常に危険だな。なんもしない感じだな、
1億台もあるのにw
この記事が気に入ったらサポートをしてみませんか?