マイク・ピーターソン
· 1分で読めます
クレジット: マルコム・オーウェン、AppleInsider
サイバーセキュリティ研究者らは、数百万台ものスマートホーム機器やIoT機器で使用されている基礎的なオープンソースソフトウェアに含まれる多数の脆弱性を発見した。
サイバーセキュリティ企業Forescoutが公表した33件の脆弱性は、150社以上のベンダーが製造するデバイスで使用されている4つのオープンソースTCP/IPスタックに影響を与えます。これら33件の脆弱性には、4件の重大なセキュリティ欠陥が含まれており、総称して「AMNESIA:33」と呼ばれています。
Forescout によると、この脆弱性によりメモリ破損が発生し、攻撃者がデバイスを侵害し、悪意のあるコードを実行し、機密情報を盗み、サービス拒否攻撃を実行する可能性があるという。
影響を受けるデバイスのほとんどは、リモート温度センサーやカメラといった消費者向け製品です。しかし、シンプルなスマートプラグやオフィスルーターから、産業用制御システムコンポーネントや医療機器まで、その範囲は多岐にわたります。
これらの欠陥の深刻さと広範囲にわたる性質を踏まえ、サイバーセキュリティ・インフラセキュリティ庁は、ユーザーとメーカーに対し、この脅威について注意喚起する速報を発表しました。この速報では、重要なインフラをインターネットから遮断するなどの防御策を推奨しています。
CISA は、悪用される可能性があるにもかかわらず、これらの脆弱性を特に狙ったアクティブな公開エクスプロイトは存在しないようだと指摘しました。
しかし、Forescoutによると、これらの脆弱性の懸念点の一つは、オープンソースソフトウェアに存在するという事実だ。オープンソースソフトウェアはボランティアによってメンテナンスされていることが多く、脆弱なコードの中には20年前のものもあるため、対処がはるかに困難になる可能性がある。
脆弱性を特定し、修正するのはデバイスメーカーの責任です。ただし、侵害されたコードの一部はサードパーティ製コンポーネントに存在するため、デバイスメーカーがその存在を把握するには、そのコンポーネントの使用方法が文書化されている必要があります。
Forescout は、米国、ドイツ、日本のサイバーセキュリティ当局に加え、可能な限り多くのデバイスベンダーにも警告を発しました。
影響を受けるデバイスの完全なリストはまだ公開されていません。リストには、Siemens、Genetec、Devolo、NT-Ware、Microchip、Nanotec などが含まれると言われています。
スマートホームデバイスをご利用のユーザーは、メーカーのウェブサイトで最新のパッチとセキュリティ情報を確認することをお勧めします。それ以外の場合、問題の軽減と解決は主にメーカーの責任となります。
AppleのHomeKitプロトコル自体は、これらのセキュリティ上の欠陥の影響を受けません。しかし、多くのデバイスは複数のネットワークプロトコルを利用していたり、複数のホームオートメーションシステムと互換性があったりするため、脆弱性が顕在化した場合、攻撃を受ける可能性があります。
