企業向けセキュリティ企業であるForescoutの研究者が発表した新しいホワイトペーパーにより、数百万台の接続デバイスに影響を与える可能性のある脆弱性が明らかになりました。

この問題は、広く使われている4つのオープンソースTCP/IPコードベースに存在するゼロデイ脆弱性に起因しています。

アムネシア：33 アンフォゲッタブル

ホワイトペーパーの作成チームは、この脆弱性を「Amnesia: 33」と名付け、Forescout社が提供するホワイトペーパー[PDF]で各問題の概要を詳しく説明しています。

フォアスカウトは、このセキュリティ侵害は、世界中の150以上のコネクテッドデバイスベンダーに影響すると推定しています。スマートホーム機器から産業環境で使用されるIoT（Internet of Things）機器まで、攻撃の対象となる機器は数百万台に及ぶ可能性があります。

ホワイトペーパーに記載されているように、この脆弱性が様々な機器に影響を及ぼす可能性があります。

• ターゲット機器のリモート・コード・エグゼキューション（RCE）制御
• サービス妨害（DoS）により、機能が損なわれ、業務に影響を及ぼす可能性あり
• Infoleak（情報漏えい）潜在的な機密情報へのアクセス
• 悪意のあるウェブサイトを指し示すDNSキャッシュポイズニング

これらの攻撃パターンは、いずれもシステムに深刻な被害を与える可能性があり、脆弱性の修正も容易ではありません。

広範囲に影響を及ぼすリスクと結果

コネクテッドシステムの欠陥は今回が初めてではなく、Ringのようなデバイスは従来のオフラインのセキュリティデバイスよりも家の安全性を低下させるのではないかという疑問さえ持たれています。この脆弱性を利用した攻撃は今のところ記録されていませんが、Forescoutのチームは、いくつかのもっともらしい攻撃シナリオを紹介しています。

使用されるネットワークスタックは、スマートプラグや温度モニターを含む多数の接続機器に存在し、家庭のユーザーにも影響があるかもしれませんが、公共の場でははるかに悲惨な結果を招く可能性があります。

例えば、医療機関では、攻撃者がネットワークにアクセスし、温度システムに影響を与えたり、鍵の接続や火災警報の誤作動など、深刻な被害を与える可能性があります。小売環境では、接続された温度センサーが一般的な脆弱性であり、いったんネットワークに侵入すると、ハッカーは店全体をオフラインにすることができます。その結果、多くの店が取引を完了できず、在庫を監視できなくなる可能性があります。

もちろん、これらは最悪のシナリオですが、他のセキュリティ白書と同様に、Forescoutがこれを考えなかったとしたら、悪意のある誰かが考えたのでしょう。

なぜ直らないのでしょうか？

コードライブラリは、「アムネシア：33人」の多くの接続機器の基本構成要素に配置されています。これらはすべてオープンソースであり、開発者が****や修正を加えることができることを意味します。

これらのコードベースが更新されたとしても、フリーコードを使用するという性質上、ライブラリの再混合、独自の実装、潜在的に悪意のあるコードを含む大規模なコードベースが発生する可能性があります。

現段階では、企業が自己責任でソフトウェアの導入状況を下から下まで評価する以外に解決策はありません。

ほとんどのサプライヤーが真剣に取り組んでいるとしても、記憶喪失の話を聞くのはこれが最後ではないでしょうか:33