【エバンジェリスト・ボイス】コロナ禍で爆発的に増大するIoT機器

CSS 部エバンジェリストの藤原です。

以前　 【エバンジェリスト・ボイス】テレワークで問題となる回線の話 -5G のこれから - の記事で光ファイバー回線の全国展開について書かせていただきましたが、コロナ禍でオンライン需要が増加したため、総務省が 2 年前倒しし、 2021 年度末までに整備するそうです。

※外部サイト： 共同通信 光ファイバー網の整備 2 年前倒し

これで、 5G の全国展開が少しでも早まることを願います。ただ、こうなってくると一番遅い回線はマンションの VDSL という事にもなりそうですので、補助金などのテコ入れが必要かもしれません。

さて、ここで本題ですが以前 IoT は機器が危ないというコラムを書かせていただきました。
【エバンジェリスト・ボイス】「 NOTICE 」の 2019 年度 2Q 実施状況

ここ最近のコロナ禍で IoT 機器が今まで以上に増えているのをご存じですか ?
ご家庭でもテレワークや Stay Home でプリンターやスマートスピーカー等の機器が増えていますが、最近目に付くのは街中です。
一例をあげますと、 3 密を回避するためにセンサーカメラを使って入出場を管理し、 3 密状態を検出したらサイネージなどで入場制限を行う製品が使われています。
同様に、温泉などでも混雑状況をセンサーで検知し、スマートフォンで確認できるシステムもあります。
3 密以外にも接触を避けるために、飲食店では自分のスマートフォンで注文できるシステムも使われていますし、キャッシュレス決済端末自体も IoT 機器だったりします。
おもしろい所では換気を促すために CO2 センサーを使って濃度が高くなったらアラートを出すシステムなど、今までにない勢いで IoT 機器が増えています。

今後も感染防止を見据え配膳ロボットのような省人化、無人化ソリューションが発展すると予想されています。

・IoTの新たな脆弱性「Ripple20」
そんなコロナ禍の折、 6 月 18 日に JVN(Japan Vulnerability Notes) から以下のリリースがありました。
※外部サイト： JVNVU#94736763  Treck 製 IP スタックに複数の脆弱性

ここでいう IP スタックとは、組み込み機器の Ethernet で TCP/IP を使う為のソフトウェアのモジュールです。 IoT 機器では多くのケースでソフトウェアの設計や実装、メンテナンスを簡素にするため、このようなプロトコルスタックを組み込んで作成されています。

今回、 Treck 社製 IP スタックと図研エルミック社製の KASAGO という製品で CVE-2020-11896 ～ CVE-2020-11914 までの 19 件の脆弱性が発見されました。この中でも特に脆弱性の深刻さを表す CVSS (Common Vulnerability Scoring System)v3 という値が CVE-2020-11896 、 CVE-2020-11897 の 2 つで最高値の 10 、 CVE-2020-11898 、 CVE-2020-11901 でも 9 となっており、非常に重要度の高い脆弱性です。

イスラエルのセキュリティ企業 JSOF 社はこの一連の脆弱性群を Ripple20 と命名しました。
※外部サイト： Ripple20 - JSOF

・サプライチェーンの怖さ
今回影響を受けるとされているメーカーは HP 、 Schneider Electric 、 Intel 、 Rockwell Automation 、 Caterpillar 、 Cisco 、 Xerox 、 Baxter 、 B. Braun 、 Digi 、 Aruba Networks 、 CareStream 、 Teradici 等 ( ※ ) とされており、アメリカの企業が多くなっています。ただし、いずれもグローバル企業ですので、その製品は世界中で使用されています。

※これらは現在 CERT/CC で確認されている企業であり、影響は更に多くの企業に及ぶ場合があります。国内の状況は JVN のページにてご確認ください。

サプライチェーンとは商品が消費者に届くまでの原料調達から製造、物流、販売といった一連の流れの事ですが、今回は各企業の製品の一部で Treck 社のソフトウェアを使用していた為、脆弱性がメーカーや機器種別を超えて広がってしまいました。
対象機器については調査中ですが、プリンターやネットワーク機器に始まり、産業制御機器や医療機器等非常に広範な IoT 機器が対象になる可能性があると伝えられています。

尚、今回図研エルミック社でも同様の脆弱性が見つかっていますが、両社は 1990 年代に業務提携をしており、同じソースが使われているとのことです。

・今回見つかった脆弱性とは
攻撃手法の一例を紹介しますと、 CVE-2020-11901 では脆弱性を持つデバイスから行われた DNS クエリーに対し、不正な形式のパケットを送信することによって、リモートコードを実行することができる脆弱性です。
例えば攻撃者が DNS キャッシュポイズニング等を使って不正なパケットを返すことにより、対象のデバイスを操作することができる可能性があります。この脆弱性は外部から攻撃出来ることから、 JSOF 社は最も危険度が高いのではないかと警告しています。
次のリンクで JSOF 社がこの脆弱性を使って UPS を操作するデモを行っています。

※外部サイト： Ripple20 Exploit UPS

・我々の行うべき対策とは
前回も書かせていただきましたが、ファームウェアは定期的に最新にするということに尽きます。 JSOF 社は脆弱性の有無に係らず、アップデートを推奨しています。
本来はお持ちの機器で脆弱性が存在するかどうかを確認するべきなのですが、残念ながら皆さんの使われている機器でどのようなモジュールが組み込まれているかを調べる手段はほぼありません。この為、必要に応じメーカーに問い合わせを行う必要があります。

上記の対応に加え、 JSOF 社の推奨は以下の通りです。
・重要なIoTデバイスのインターネット接続を最小限にとどめる。
・オフィスのネットワークとデバイスが使用されているネットワークを切り離す。
　(脆弱性の有無にかかわらず推奨)
・IoTデバイスが接続するネットワークでDNSプロキシを構成する。

これらの対策を行うためには、 IoT 機器が適切に管理されている必要があります。管理されていない場合は、まず IoT 機器をどこでどのように使われているか棚卸を実施することが必要です。

・サイバーデブリ対策
サイバーデブリという言葉をご存じでしょうか。
世の中には設置したまま忘れている機器や誰が設置したのかわからない機器が溢れてきています。これら野良 IoT 機器を情報セキュリティ大学院大学の提唱によりサイバーデブリと呼ぶようになってきています。

皆さんのご自宅でも IoT 機器が増えてきているかと思います。インターネットが普及して 20 年以上たちますので、使わなくなったルータを HUB 代わりに使ったり、古い Wi-Fi ルータを予備として使ったりしていませんか ?
このような機器が忘れ去られた結果、サイバーデブリの増加に繋がります。
実は IoT 機器にもサポート期間があり、このようなネットワーク機器も例外ではありません。脆弱性の対応をどこまで行うかはメーカーによって異なりますが、少なくとも NEC プラットフォームズでは完売から 7 年が経過した製品を「サポート終了」と定義しています。
もったいないとは思いますが、 IoT 機器に関しては古い製品は間違って使用しないように廃棄することをお勧めいたします。

・望まれるOTA（Over The Air）自動更新
製品のアップデート機能については 2020 年 4 月 1 日に行われた総務省の省令によって、技適の条件にファームウェアの更新機能が追加となりました。

※外部サイト： 総務省　端末設備等規則等の一部改正について

但し、対象範囲は「電気通信回線設備に直接接続される端末機器」となっており、要はインターネットに直接接続される機器のみで、ルータの内側の機器は対象外と定められています。
また、 PC やスマートフォンに代表されるように、アップデートは自動で行われているケースが増えていますが、今回の省令では自動アップデート機能は必須要件ではありません。

アップデートは再起動を伴うケースが多い為、 24 時間使われる事が多い IoT 機器とは相性がよくありません。ご家庭でも IoT 冷蔵庫が再起動に失敗して止まっていたり、ビデオが録画できてなかったりという事があれば大問題ですが、これが医療機器であれば命にかかわるのは容易に想像できるかと思います。
産業系や医療系は、万が一にも誤動作することが許されないため、なかなか自動アップデートが許容されません。
この為、許容される機器だけでも「再起動タイミングはユーザーに決定権を持たせるが、再起動が必要なことを表すインジケーターを付ける」等の対策で自動アップデート機能を必須にするなど、法改正を含めた改善が期待されています。

尚、冒頭のコロナ禍対応の IoT 機器に関しては、最近ではほとんどが月額課金のクラウドサービスとなっています。この為、課金中のサポート等のサービス維持はきちんと行われると思います。しかし提供側の企業規模も様々ですので、セキュリティ面が十分に検討されていないケースや、サービス終了後のフォロー不足なども出てくるかと思います。
導入の際には業者側で十分セキュリティが考慮されているかを確認の上、導入をご検討頂いたほうが良いかと思います。

・最後に
今回の脆弱性はサプライチェーンにより非常に広範に影響が出るものでしたが、今後はこのようなケースが増えると予想されます。
そのうえ IoT 機器では無線化が進んでおり、今後は 5G の機器も増加すると予測されますが、こうなると目視で機器を探すのが難しくなってきますので、サイバーデブリの増加が危惧されます。
また、特に気になるのが産業系や医療系の機器ですが、担当者が複数存在するケースが多く、だれが管理している機器なのかわからないケースが多くなる傾向があると感じています。

この為、業界を問わず現物のチェックから入るのが大切なのですが、棚卸だけでは間隔が開いてしまい、その間に攻撃を受ける可能性があります。
この為、極力ネットワークでのリアルタイム監視を行い、機械の増設・撤去の検知を行う対策をお勧めいたします。

弊社では特に産業向けに以下のような製品を取り扱っており、機器の状況監視以外にも攻撃の兆候や情報漏洩の兆候をリアルタイムに検知することができます。

CyberX

産業以外のネットワーク監視はマネージドサービスをご提供していますので、ご検討ください。

ネットワーク監視＆インシデント対応サービス

それでは、また次回をお待ちください。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。