IoTデバイスを脅かす『Amnesia:33』のTCP/IP脆弱性
最近、Forescoutのセキュリティリサーチャーによって発表された『Amnesia:33』の脆弱性が注目を浴びています。この問題は、uIP、FNET、picoTCP、Nut/Netという4つのTCP/IPスタックにおいて、合計33個の脆弱性が見つかったことから名付けられました。これらのスタックは、多くのIoTデバイスやOTデバイスで広く利用されており、影響を受けるデバイスの数はなんと100万台以上に及ぶとしています。
この脆弱性は、主にメモリ管理の不備によって引き起こされます。もし悪用されると、遠隔の第三者によるサービス運用妨害(DoS)や、任意のコードの実行が可能になるという非常に深刻な事態が想定されるのです。2020年12月の時点で、アメリカのCERT(US-CERT)はこの問題に対してCVSSスコア9.8を算出しており、このスコアは最大10のうちの非常に高い値です。また、同日には日本のJVNも重要性を指摘し、適切な対策を講じるよう呼びかけています。
このような重大な脆弱性が発見されると、デバイスメーカーは迅速にパッチを開発し、配布しなければなりません。しかし現状、IoT業界ではセキュリティへの対策が困難だとされてきました。特に、開発段階からのセキュリティ対策が難しいという現実は、業界全体の問題とされています。
とはいえ、最近では一部の企業が『セキュアバイデザイン』の理念を採用し、製品設計や開発段階からセキュリティを重要視するようになってきています。具体的な対策としては、定期的なセキュリティチェックの実施や、既知及び未知の脆弱性調査を開発時に行うことが挙げられます。また、SSDLC(セキュアソフトウェア開発ライフサイクル)の導入も有効です。
さらに、私たちONWARD SECURITY JAPAN株式会社では、以下のようなソリューションを提供しています:
HERCULES SecDevice脆弱性自動検査ツール
このツールにより、ネットワーク機器(IoTを含む)のセキュリティアセスメントを自動で行うことができます。140以上のテスト項目を持ち、既知の脆弱性データベースを活用したスキャンだけでなく、ファジング技術を用いて未知の脆弱性も検出します。
セキュリティアセスメントサービス
私たちは国際的なISO規格や業界基準に基づいた、網羅的な製品情報システムのセキュリティアセスメントを提供しています。当社の検査ラボは、ISO17025やioXtによる承認を受けており、外部からも高い評価を得ています。
IoTデバイスにおけるセキュリティは、ますます重要性を増しています。『Amnesia:33』のような脆弱性が発見された場合、その影響を最小限に抑えるために早急な対策が求められます。私たちのような企業が提供する製品やサービスは、こうした脆弱性への対応において大いに役立つでしょう。
お問合せ先
ONWARD SECURITY JAPAN株式会社
電話: 03-6453-0061
E-Mail:
[email protected]
(日本語/英語/中国語可)
参考リンク:
このような新しい問題が発生する中で、IoTデバイスのセキュリティを強化するための取り組みは、今後ますます重要性を増していくでしょう。