関連するソリューション
OT/産業制御系セキュリティ
サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 藤原 和紀
CSS部エバンジェリストの藤原です。
以前【エバンジェリスト・ボイス】テレワークで問題となる回線の話-5Gのこれから-の記事で光ファイバー回線の全国展開について書かせていただきましたが、コロナ禍でオンライン需要が増加したため、総務省が2年前倒しし、2021年度末までに整備するそうです。
※外部サイト:共同通信 光ファイバー網の整備2年前倒し
これで、5Gの全国展開が少しでも早まることを願います。ただ、こうなってくると一番遅い回線はマンションのVDSLという事にもなりそうですので、補助金などのテコ入れが必要かもしれません。
さて、ここで本題ですが以前IoTは機器が危ないというコラムを書かせていただきました。
【エバンジェリスト・ボイス】「NOTICE」の2019年度2Q実施状況
ここ最近のコロナ禍でIoT機器が今まで以上に増えているのをご存じですか?
ご家庭でもテレワークやStay Homeでプリンターやスマートスピーカー等の機器が増えていますが、最近目に付くのは街中です。
一例をあげますと、3密を回避するためにセンサーカメラを使って入出場を管理し、3密状態を検出したらサイネージなどで入場制限を行う製品が使われています。
同様に、温泉などでも混雑状況をセンサーで検知し、スマートフォンで確認できるシステムもあります。
3密以外にも接触を避けるために、飲食店では自分のスマートフォンで注文できるシステムも使われていますし、キャッシュレス決済端末自体もIoT機器だったりします。
おもしろい所では換気を促すためにCO2センサーを使って濃度が高くなったらアラートを出すシステムなど、今までにない勢いでIoT機器が増えています。
今後も感染防止を見据え配膳ロボットのような省人化、無人化ソリューションが発展すると予想されています。
・IoTの新たな脆弱性「Ripple20」
そんなコロナ禍の折、6月18日にJVN(Japan Vulnerability Notes)から以下のリリースがありました。
※外部サイト:JVNVU#94736763 Treck製IPスタックに複数の脆弱性
ここでいうIPスタックとは、組み込み機器のEthernetでTCP/IPを使う為のソフトウェアのモジュールです。IoT機器では多くのケースでソフトウェアの設計や実装、メンテナンスを簡素にするため、このようなプロトコルスタックを組み込んで作成されています。
今回、Treck社製IPスタックと図研エルミック社製のKASAGOという製品でCVE-2020-11896~CVE-2020-11914までの19件の脆弱性が発見されました。この中でも特に脆弱性の深刻さを表すCVSS (Common Vulnerability Scoring System)v3という値がCVE-2020-11896、CVE-2020-11897の2つで最高値の10、CVE-2020-11898、CVE-2020-11901でも9となっており、非常に重要度の高い脆弱性です。
イスラエルのセキュリティ企業JSOF社はこの一連の脆弱性群をRipple20と命名しました。
※外部サイト:Ripple20 - JSOF
・サプライチェーンの怖さ
今回影響を受けるとされているメーカーはHP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Cisco、Xerox、Baxter、B. Braun、Digi、Aruba Networks、CareStream、Teradici等(※)とされており、アメリカの企業が多くなっています。ただし、いずれもグローバル企業ですので、その製品は世界中で使用されています。
※これらは現在CERT/CCで確認されている企業であり、影響は更に多くの企業に及ぶ場合があります。国内の状況はJVNのページにてご確認ください。
サプライチェーンとは商品が消費者に届くまでの原料調達から製造、物流、販売といった一連の流れの事ですが、今回は各企業の製品の一部でTreck社のソフトウェアを使用していた為、脆弱性がメーカーや機器種別を超えて広がってしまいました。
対象機器については調査中ですが、プリンターやネットワーク機器に始まり、産業制御機器や医療機器等非常に広範なIoT機器が対象になる可能性があると伝えられています。
尚、今回図研エルミック社でも同様の脆弱性が見つかっていますが、両社は1990年代に業務提携をしており、同じソースが使われているとのことです。
・今回見つかった脆弱性とは
攻撃手法の一例を紹介しますと、CVE-2020-11901では脆弱性を持つデバイスから行われたDNSクエリーに対し、不正な形式のパケットを送信することによって、リモートコードを実行することができる脆弱性です。
例えば攻撃者がDNSキャッシュポイズニング等を使って不正なパケットを返すことにより、対象のデバイスを操作することができる可能性があります。この脆弱性は外部から攻撃出来ることから、JSOF社は最も危険度が高いのではないかと警告しています。
次のリンクでJSOF社がこの脆弱性を使ってUPSを操作するデモを行っています。
※外部サイト:Ripple20 Exploit UPS
・我々の行うべき対策とは
前回も書かせていただきましたが、ファームウェアは定期的に最新にするということに尽きます。JSOF社は脆弱性の有無に係らず、アップデートを推奨しています。
本来はお持ちの機器で脆弱性が存在するかどうかを確認するべきなのですが、残念ながら皆さんの使われている機器でどのようなモジュールが組み込まれているかを調べる手段はほぼありません。この為、必要に応じメーカーに問い合わせを行う必要があります。
上記の対応に加え、JSOF社の推奨は以下の通りです。
・重要なIoTデバイスのインターネット接続を最小限にとどめる。
・オフィスのネットワークとデバイスが使用されているネットワークを切り離す。
(脆弱性の有無にかかわらず推奨)
・IoTデバイスが接続するネットワークでDNSプロキシを構成する。
これらの対策を行うためには、IoT機器が適切に管理されている必要があります。管理されていない場合は、まずIoT機器をどこでどのように使われているか棚卸を実施することが必要です。
・サイバーデブリ対策
サイバーデブリという言葉をご存じでしょうか。
世の中には設置したまま忘れている機器や誰が設置したのかわからない機器が溢れてきています。これら野良IoT機器を情報セキュリティ大学院大学の提唱によりサイバーデブリと呼ぶようになってきています。
皆さんのご自宅でもIoT機器が増えてきているかと思います。インターネットが普及して20年以上たちますので、使わなくなったルータをHUB代わりに使ったり、古いWi-Fiルータを予備として使ったりしていませんか?
このような機器が忘れ去られた結果、サイバーデブリの増加に繋がります。
実はIoT機器にもサポート期間があり、このようなネットワーク機器も例外ではありません。脆弱性の対応をどこまで行うかはメーカーによって異なりますが、少なくともNECプラットフォームズでは完売から7年が経過した製品を「サポート終了」と定義しています。
もったいないとは思いますが、IoT機器に関しては古い製品は間違って使用しないように廃棄することをお勧めいたします。
・望まれるOTA(Over The Air)自動更新
製品のアップデート機能については2020年4月1日に行われた総務省の省令によって、技適の条件にファームウェアの更新機能が追加となりました。
※外部サイト:総務省 端末設備等規則等の一部改正について
但し、対象範囲は「電気通信回線設備に直接接続される端末機器」となっており、要はインターネットに直接接続される機器のみで、ルータの内側の機器は対象外と定められています。
また、PCやスマートフォンに代表されるように、アップデートは自動で行われているケースが増えていますが、今回の省令では自動アップデート機能は必須要件ではありません。
アップデートは再起動を伴うケースが多い為、24時間使われる事が多いIoT機器とは相性がよくありません。ご家庭でもIoT冷蔵庫が再起動に失敗して止まっていたり、ビデオが録画できてなかったりという事があれば大問題ですが、これが医療機器であれば命にかかわるのは容易に想像できるかと思います。
産業系や医療系は、万が一にも誤動作することが許されないため、なかなか自動アップデートが許容されません。
この為、許容される機器だけでも「再起動タイミングはユーザーに決定権を持たせるが、再起動が必要なことを表すインジケーターを付ける」等の対策で自動アップデート機能を必須にするなど、法改正を含めた改善が期待されています。
尚、冒頭のコロナ禍対応のIoT機器に関しては、最近ではほとんどが月額課金のクラウドサービスとなっています。この為、課金中のサポート等のサービス維持はきちんと行われると思います。しかし提供側の企業規模も様々ですので、セキュリティ面が十分に検討されていないケースや、サービス終了後のフォロー不足なども出てくるかと思います。
導入の際には業者側で十分セキュリティが考慮されているかを確認の上、導入をご検討頂いたほうが良いかと思います。
・最後に
今回の脆弱性はサプライチェーンにより非常に広範に影響が出るものでしたが、今後はこのようなケースが増えると予想されます。
そのうえIoT機器では無線化が進んでおり、今後は5Gの機器も増加すると予測されますが、こうなると目視で機器を探すのが難しくなってきますので、サイバーデブリの増加が危惧されます。
また、特に気になるのが産業系や医療系の機器ですが、担当者が複数存在するケースが多く、だれが管理している機器なのかわからないケースが多くなる傾向があると感じています。
この為、業界を問わず現物のチェックから入るのが大切なのですが、棚卸だけでは間隔が開いてしまい、その間に攻撃を受ける可能性があります。
この為、極力ネットワークでのリアルタイム監視を行い、機械の増設・撤去の検知を行う対策をお勧めいたします。
弊社では特に産業向けに以下のような製品を取り扱っており、機器の状況監視以外にも攻撃の兆候や情報漏洩の兆候をリアルタイムに検知することができます。
CyberX
産業以外のネットワーク監視はマネージドサービスをご提供していますので、ご検討ください。
ネットワーク監視&インシデント対応サービス
それでは、また次回をお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。