【Amnesia:33 – 100万台以上のIoTデバイスに影響する、危険なTCP/IPの脆弱性が発見される】

Forescoutのセキュリティリサーチャー発表によると、uIP・FNET・picoTCP・Nut/Netの計4つのTCP/IPスタックのOSS(オープンソースソフトウェア)ライブラリに、合計33個の脆弱性が発見されました。このライブラリはIoTデバイスやOTデバイスにて様々なデバイスベンダー様にて採用されており、及ぼす影響規模は１００万台以上に上ると推測されます。また、この脆弱性はメモリ管理の不備に起因しており、当該脆弱性を悪用した場合次の影響が想定されます、遠隔の第三者によって、サービス運用妨害(DoS)や任意のコードの実行が可能になります。

2020/12/9US-CERT(米国)がCVSSスコア9.8(最大10)とのスコアを算出し、広く対策を呼び掛けています。また、同日にはJVN(日本)からも” JVNVU#96491057 複数の組み込み TCP/IP スタックにメモリ管理の不備に起因する複数の脆弱性”として公表され、広く対策を講じるよう呼びかけられています。

このような脆弱性が発見された場合、ベンダーはパッチを提供するなど対策に負担がかかります。しかしながら、このような重大な問題が発見された場合でも、IoTのセキュリティは対応が難しいというのがこれまでの一般的な考えでした。

しかしながら一部の企業様では、セキュアバイデザインの思考を社内に導入し、開発の段階から製品情報システムのセキュリティを最小限に抑えることに成功しています。その他にも予防方法として知られていることは以下の通りです：

• 製品を定期的にセキュリティチェックし、既知の脆弱性に対応する
• IoTデバイスベンダー/開発メーカー様において、開発段階から既知/未知の脆弱性調査を行う
• SSDLC(セキュアソフトウェア開発ライフサイクル)を開発の際に導入する

弊社にて下記のソリューション/サービスを提供しております：

• 【HERCULES SecDevice脆弱性自動検査ツール】
  • 当ツールにてネットワーク機器(IoT含む)全般に対し、製品のセキュリティアセスメントを自社にて自動で行って頂くことが可能です。検証ラボレベルの140以上のテスト項目を有しており、豊富な既知の脆弱性DBを利用したスキャン以外にも、ファジング技術による未知の脆弱性をあぶり出します。
• 【セキュリティアセスメントサービス】
  • 弊社では国際的なISO規格や、業界規格をベースにしたより網羅性の高い製品情報システムのセキュリティアセスメントを弊社ラボにて検査するサービスも提供しております。当該検査ラボはISO17025やioXt認定ラボとして承認されているなど、検査技術のレベルにも外部から評価されております。

【お問合せ先】
ONWARD SECURITY JAPAN株式会社
電話: 03-6453-0061
E-Mail：contact@onwardsecurity.com
(日本語/英語/中国語　可)

参考リンク：

• https://thehackernews.com/2020/12/amnesia33-critical-tcpip-flaws-affect.html
• https://gigazine.net/news/20201210-amnesia-33-vulnerabilities-iot-smart-home-devices/
• ​https://www.forescout.com/research-labs/amnesia33/
• https://jvn.jp/vu/JVNVU96491057/