バルコ製ワイヤレスプレゼンシステムに脆弱性、エフセキュアが発表

先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、多くのユーザを持つワイヤレスプレゼンテーションシステムに、悪用可能な複数の脆弱性を発見したと発表しました。攻撃者はこの欠陥を使用して、プレゼンテーション中に情報を傍受および操作し、使用されているPCからパスワードなどの重要な情報を盗み、バックドアやその他のマルウェアをインストールすることができます。

ベルギーに本社を置くBarco社 (以下、バルコ) のClickShareワイヤレスプレゼンテーションシステムは、様々なデバイスからコンテンツを投影するためのコラボレーションツールです。同製品は日本を含む世界中で多くの企業に導入されており、リサーチ会社であるFutureSource Consultingの「グローバルワイヤレスプレゼンテーションソリューション2019」レポートによると、ワイヤレスプレゼンテーションシステム市場で29％のシェアを持つ製品です。*

*出典: https://futuresource-consulting.com/reports/posts/2019/may/futuresource-wireless-presentation-solutions-market-report-worldwide-may-19/?locale=en

エフセキュアのコンサルティング部門であるF-Secure Consultingでハードウェアセキュリティを担当するシニアコンサルタントを務めるDmitry Janushkevich (ドミトリー・ヤヌシュケヴィッチ) は、ワイヤレスプレゼンテーションシステムの脆弱性について、次のように語っています。

「ワイヤレスプレゼンテーションシステムは実用的で使い勝手がよく、多くの企業ユーザに採用されています。しかし、シンプルな外見に反して内部は非常に複雑な構造を持っており、その複雑さがセキュリティ対策を難しくしているのです。人々は、多くのユーザを持つ製品を無条件に信頼する傾向があり、そのため、攻撃者にとって格好の標的となります。私たちのチームはそこに着目して調査をおこないました。」

Janushkevichのチームは数ヶ月間に渡りClickshareシステムを何度も調査し、悪用可能な複数の欠陥を発見しました。そのうち10個には共通脆弱性識別子 (CVE = Common Vulnerabilities and Exposures) があります。 さまざまな問題により、システムを介して共有される情報を傍受したり、システムを使用してユーザのコンピュータにバックドアやその他のマルウェアをインストールしたり、情報やパスワードを盗み取るなど、様々な攻撃が可能となっています。発見された脆弱性の一部を悪用するためには物理的なアクセスが必要ですが、システムがデフォルト設定を使用している場合は他の脆弱性をリモートで実行できます。さらに、Janushkevichによると、エクスプロイトの実行は、物理的なアクセスを持った熟練の攻撃者 (社員や出入りの業者になりすましていることが多い) によって迅速に行われ、デバイスを密かに侵害することができます。

Janushkevichは詳細について以下のように話しています。

「テストの主な目的は、システムにバックドアを仕掛け、プレゼンターを侵害し、提示されたとおりに情報を盗むことでした。境界線をクラックすることは困難でしたが、アクセスしてから複数の脆弱性を見つけることができました。システムについて詳しく調べると、それらの脆弱性を簡単に悪用することができました。攻撃者にとって、これはユーザ企業を危険にさらすための迅速かつ実用的な手法です。企業は、使用する製品／サービスの潜在リスクについて、もっと理解する必要があります。今回のケースは、スマートデバイスのセキュリティ保護の困難さを示しています。チップ、設計、そして組み込みソフトウェアのバグは、メーカーとユーザ両方に長期的な悪影響を及ぼし、製品に対する信頼を低下させる可能性があります。」

エフセキュアは2019年10月9日に調査結果をバルコに通知し、両社は情報の開示に向けて協力してきました。ヨーロッパ現地時間の12月16日、バルコはWebサイトで更新版のファームウェアを公開し、最も重大な脆弱性を緩和しました。ただし、発見された脆弱性の一部には物理的なメンテナンスが必要なハードウェアコンポーネントが関係しており、これらが修正されることはほとんどないと考えられます。

F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。

本プレスリリースページ

http://jp.press.f-secure.com/2019/12/17/barco-jp/

Barco社製ワイヤレスプレゼンテーションシステムの脆弱性に関するアドバイザリー (英語)
https://labs.f-secure.com/advisories/multiple-vulnerabilities-in-barco-clickshare

F-Secure Labs:

https://labs.f-secure.com/

F-Secure Consulting:

https://www.f-secure.com/en/consulting

エフセキュアについて

エフセキュアほど現実世界のサイバー脅威についての知見を持つ企業は市場に存在しません。数百名にのぼる業界で最も優れたセキュリティコンサルタント、何百万台ものデバイスに搭載された数多くの受賞歴を誇るソフトウェア、進化し続ける革新的な人工知能、そして「検知と対応」。これらの橋渡しをするのがエフセキュアです。当社は、大手銀行機関、航空会社、そして世界中の多くのエンタープライズから、「世界で最も強力な脅威に打ち勝つ」という私たちのコミットメントに対する信頼を勝ち取っています。グローバルなトップクラスのチャネルパートナー、200社以上のサービスプロバイダーにより構成されるネットワークと共にエンタープライズクラスのサイバーセキュリティを提供すること、それがエフセキュアの使命です。

エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細はhttps://www.f-secure.com/en/welcome (英語) および https://www.f-secure.com/ja_JP/ (日本語) をご覧ください。また、Twitter @FSECUREBLOG でも情報の配信をおこなっています。