数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される

セキュリティ企業JSOFが、IntelやHPの製品を含む多くのスマートデバイスやルーター、プリンターなどが影響を受ける脆弱性「Ripple20」を発見したと発表しました。Ripple20は、1997年にリリースされて以来多くのメーカーが採用してきたインターネット通信プロトコルのライブラリが原因となっていることから、この脆弱性の影響を受ける製品は全世界に数億台以上あると見られています。

Ripple20 - JSOF
https://www.jsof-tech.com/ripple20/

Ripple20 vulnerabilities will haunt the IoT landscape for years to come | ZDNet
https://www.zdnet.com/article/ripple20-vulnerabilities-will-haunt-the-iot-landscape-for-years-to-come/

Ripple20がどんな脆弱性かは、以下のムービーを再生すると一発で分かります。

JSOF Ripple20 Exploit UPS - YouTube

Ripple20の脆弱性について説明するのは、JSOFのCEOであるShlomi Oberman氏です。

Oberman氏の目の前にある電化製品はいずれも、オハイオ州シンシナティに拠点を置くソフトウェア開発会社Treckの通信プロトコルを使用している製品です。

その製品は、LANケーブルが接続された通信機器や……

医療機器である輸液ポンプ

家庭用プリンター

無停電電源装置(UPS)

照明器具など多岐にわたります。

これらは全て、バッテリー残量が100％のUPSに接続されています。

Oberman氏がRipple20を用いてUPSに不正アクセスすると……

UPSに電力が残っているにもかかわらず、照明器具の電源が落ちて暗くなってしまいました。

輸液ポンプも、バッテリー残量がないことを警告する画面を表示しています。

Ripple20は、Treckが開発したTCP/IPプロトコルのライブラリで発見された19件のゼロデイ脆弱性の総称です。この脆弱性を利用すると、外部からネットワークに侵入し、データを盗んだり機器を誤作動させたりすることが可能になります。Treckのライブラリは動作が軽量だったことなどから、多くのメーカーが自社製品に採用しており、このことが被害の拡大に拍車をかけました。

Treckのライブラリは主にアメリカで使用されていますが、同様のライブラリは1990年代にTreckと提携していた日本のソフトウェア開発会社Elmic Systems(現在の図研エルミック)がリリースしている「Kasago TCP/IP」という製品でも確認されているとのことです。

JSOFはRipple20の特徴について、「Ripple20の興味深い点は、サプライチェーンによって影響力が非常に大きく拡大されているということです。Ripple20は、多様なメーカーを巻き込んで、幅広い分野で重用されているIoTデバイスに混入されました。その影響を受ける業界は通信、小売、商社、医療、輸送、工業、エネルギーなど広範に及んでおり、具体的にはIT製品大手のIntelやHP、電機メーカーのシュナイダーエレクトリック、産業用機器メーカーのロックウェル・オートメーション、重機メーカーのキャタピラー、医療機器関連企業のバクスターなどの製品が影響を受けている疑いがあります」と指摘しました。

JSOFの試算によると、Ripple20の影響を受ける製品は全世界に数億台かそれ以上あるとのこと。TreckはIT系ニュースサイトZDNetに対し、「Ripple20に該当するすべての脆弱性に対するパッチが利用可能となっています」と回答し、既にメーカー向けに修正パッチがリリースされていることを明かしました。

ただし、Treckのライブラリを使用している製品やそのメーカーの特定作業は記事作成時点でも進行中で、被害の全容はいまだに明らかになっていません。Treckは今後、Ripple20の影響を受けていることが確認された企業や複数のセキュリティベンダーなどと協力してこの問題に取り組んでいくほか、2020年8月1日から開催される情報セキュリティイベントBlack Hat USA 2020でもRipple20を取り上げて、注意喚起を図っていく方針だとしています。