イスラエルのサイバーセキュリティ企業JSOFは「Ripple20」と呼ばれる脆弱性群に関する情報を公開しました。この脆弱性群は、さまざまな業界において、何百万個ものモノのインターネット(Internet of Things 、IoT)機器に深刻な影響を与えるとされています。具体的には、医療、石油およびガス、輸送、電力、製造業界で重要視されている機器が挙げられます。脆弱な機器を利用する特定のベンダの一覧は、JSOFが公開したこちらのテクニカルレポートから確認可能です。脆弱性群のCVE一覧は記事末を参照ください。
本脆弱性は、90年代後半に発表された米国企業Treck社製のソフトウェアに起因しています。このソフトウェアは、軽量のTCP/IPスタックを実装しており、TCP / IP接続を介することで、企業が保有する機器またはソフトウェアをインターネットに接続できるようにします。このソフトウェアが長年入手可能となっており現在も利用されていること、そして規模の大小に関わらず、企業がますます多くの機器をオンライン上で用いることを考慮すれば、Ripple20の影響が広範囲に及んだとしても不思議ではありません。上述のJSOFの調査から引用すれば「Ripple20の影響は、さまざまなベンダの集団が関与し幅広い分野で重要視されているIoT機器にまで至りました。個人が経営する小規模な専門店から、全米企業上位500社を対象とした番付「Fortune 500」に名を連ねる多国籍企業まで、多様なベンダがこの脆弱性の影響を受ける」ものと考えられます。
IoTおよび産業分野におけるモノのインターネット(IIoT)機器は、処理能力を節約するために軽量のネットワークコンポーネントを必要とします。しかし、長年にわたり、サードパーティのネットワーク通信ソフトウェアに関する問題は、この状況を難しいものにしてきました。2018年、FreeRTOS TCP/IP stackと関連する13個の脆弱性により、家庭や重要なインフラストラクチャにおけるIoT機器が危険にさらされました。その翌年、医療機器ならびに病院のネットワークが、11件の脆弱性からなる脆弱性群「Urgent/11」の影響を受けました。これらの脆弱性は、ネットワーク通信を提供するサードパーティのソフトウェアコンポーネント「IPnet」内に存在しており、攻撃者はこれらの脆弱性を利用して、遠隔での医療機器の制御や機能の妨害を行う可能性があります。
■脆弱性
Treck社製のソフトウェアから確認された脆弱性は、その影響が及ぶ範囲が広いこともあり、特に注視されています。これは、さまざまな製造元がこのソフトウェアを直接的および間接的に利用しており、世界中で広く利用されているためです。JSOFの最高経営責任者(CEO)Shlomi Oberman氏は、記者に対する声明の中で、「Treck社はそれほど多くの人々に認識されているわけではありませんが、TCP-IPスタックを提供する主要なプロバイダであり、非常に複雑なサプライチェーンの始まりに位置しています」と述べています。
具体的に、Ripple20はハッキング可能な19個の欠陥からなる脆弱性群であり、もし悪用に成功した場合、攻撃者が接続可能な脆弱な機器上で任意のコードを実行可能になるとみられています。攻撃者は、ローカルネットワークまたはインターネットを介して脆弱な機器にアクセスし、それらを完全に制御しようとする可能性があります。これは、脆弱なデバイスに送電網、製造工場、病院などの機器が含まれる場合、深刻な問題となります。Ripple20の脆弱性群の中でも特に危険視されている脆弱性の1つに、DNSプロトコルの脆弱性があります。この脆弱性は、巧みな攻撃者がインターネットに未接続の機器を攻撃するために利用される可能性があります。JSOFは、脆弱なデバイスを使用してネットワーク内の他の機器を狙うこと、脆弱な機器を利用してネットワーク内に隠れること、攻撃をブロードキャストしてネットワーク内の影響を受ける全機器を同時に制御するなど、他の発生し得る攻撃の概要を解説しました。 Treck社は、これらの脆弱性に対応するセキュリティ更新を公開しました。
国土安全保障省国家保護・プログラム総局(The Cybersecurity and Infrastructure Security Agency 、CISA)では、これらの脆弱性のうち5つをCVSS基本値8以上で評価し、そのうちの2つはCVSS基本値の最高である10が付けられました。また、ユーザはこれらの脆弱性による脅威を防ぐため、以下のようなベストプラクティスを講じることを推奨します。
- Treck社が公開したセキュリティ更新のインストール
- ネットワーク露出の最小化
- ファイアウォールの実装
- 仮想プライベートネットワークの使用
- 内部DNSサーバの使用
■トレンドマイクロの対策
本記事で紹介したような脆弱性を回避するための初手として、脆弱性攻撃の遮断を行うことが挙げられます。場合によっては、資産の所有者が、対象の環境内にこのような脆弱性が潜んでいるという認識を持たないこともあります。トレンドマイクロおよびOTネットワークや産業向けネットワーク製品のリーディングカンパニー「Moxa」の合併会社「TXOne Networks」が提供する産業制御システム向け製品「EdgeIPSTM 」や「EdgeFireTM」は、ネットワーク通信のスキャンを利用して、ネットワークトラフィックを分析することで、配下にあるユーザ資産を、Ripple20などの脆弱性攻撃から保護します。脆弱性攻撃を遮断したことが検知された場合、ユーザは製造元から提供されたセキュリティ更新プログラムを直ちに適用して、恒久的な対策を行うことが望ましいです。本製品とともに、脆弱性群Ripple20の脅威を防ぐためのベストプラクティスを紹介します。
- ネットワークセグメンテーション:OT(Operational Technology)ネットワーク環境では、適切な内部セグメンテーションとマイクロセグメンテーションを実行する必要があります。資産の所有者は、ICSプロトコルを含む通信の制御とNATを利用しながら、EdgeFireTMを利用して内部セグメンテーションを実行することが可能です。一方、EdgeIPSTMは、詳細なマイクロセグメンテーションを実行するのに役立ちます。
- ネットワークポリシーの制御:適切な対策技術が採用されていない場合、ゼロトラスト前提で対策を徹底することは困難です。 EdgeFireTMおよびEdgeIPSTMは、IPアドレス、ICSプロトコル、およびコマンドを介したM2M通信用のネットワークアクセスに関するホワイトリストを提供します。
- 最新の脅威に対して防御:潜在的な危険性が高い場合、EdgeIPSTMおよびEdgeFireTMはルールセットを更新して脆弱性を防御します。
■侵入の痕跡(Indicators of Compromise、IoC)
脆弱性群「Ripple20」に関連する脆弱性の一覧:
- CVE-2020-11896
- CVE-2020-11897
- CVE-2020-11898
- CVE-2020-11899
- CVE-2020-11900
- CVE-2020-11901
- CVE-2020-11902
- CVE-2020-11903
- CVE-2020-11904
- CVE-2020-11905
- CVE-2020-11906
- CVE-2020-11907
- CVE-2020-11908
- CVE-2020-11909
- CVE-2020-11910
- CVE-2020-11911
- CVE-2020-11912
- CVE-2020-11913
- CVE-2020-11914
参考記事:
- 「Millions of IoT Devices Affected by Ripple20 Vulnerabilities」
By Trend Micro
翻訳:下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)