100万台以上のIoTデバイス・産業デバイスに影響する33個の脆弱性「AMNESIA：33」が発見される

セキュリティ企業のForescoutが2020年12月8日に、4つのオープンソースライブラリに潜む合計33個の脆弱(ぜいじゃく)性である「AMNESIA：33」を特定したと発表しました。この脆弱性が含まれるライブラリは150以上のベンダーの製品に使用されていることが判明しており、影響を受けるデバイスは100万台超に上ると見積もられています。

AMNESIA:33 - Forescout
https://www.forescout.com/research-labs/amnesia33/

AMNESIA:33 – Foresout Research Labs Finds 33 New Vulnerabilities in Open Source TCP/IP Stacks - Security Boulevard
https://securityboulevard.com/2020/12/amnesia33-foresout-research-labs-finds-33-new-vulnerabilities-in-open-source-tcp-ip-stacks/

Amnesia-33 vulnerabilities affect 158 vendors, millions of devices | SC Media
https://www.scmagazine.com/home/security-news/mobile-security/amnesia-33-vulnerabilities-affect-158-vendors-millions-of-devices/

Amnesia:33 vulnerabilities impact millions of smart and industrial devices | ZDNet
https://www.zdnet.com/article/amnesia33-vulnerabilities-impact-millions-of-smart-and-industrial-devices/

「AMNESIA：33」がどのような脆弱性なのかは、Forescoutが公開している以下のムービーを見ると一発で分かります。

What is AMNESIA:33? - YouTube

「AMNESIA：33」は、多くの組み込みチップやIoTデバイス、OT(産業制御システム)デバイス、ITデバイスなど身の回りにある幅広い製品に影響を与える33個の脆弱性で構成されています。

これらの脆弱性は、世界中で使用されている4つのTCP/IPオープンソースライブラリ「picoTCP」「FNET」「uIP」「Nut/Net」で見つかりました。

33個の脆弱性のうち、4個はデバイスの遠隔操作やサービスの妨害、情報漏えいを招くため特に危険視されています。

「AMNESIA：33」が悪用される危険性が高い場面の1つが、2020年に入って急速に普及した自宅でのリモートワークです。

まず、ハッカーは対策が行われていないルーターを介して、VPNに接続されているPCに侵入します。

その後、クラウドを介して会社や製造工場のシステムが順番にクラッキングされると……

工場の操業が不正に停止させられる可能性があります。

また、小売店が被害を受けるケースも考えられます。

壁に設置されているスマート温度計など、思いもよらぬ侵入経路から悪意あるパケットが送信されることにより……

直接インターネットにつながっていないはずのレシートプリンターが停止し、レジが大混乱に陥るおそれがあります。

さらに、ハッカーが店内のシステムを経由してネットワークスイッチを操作すると、ローカルネットワークが切断されてしまう事態も考えられます。

「AMNESIA：33」による被害を防ぐにあたり、Forescoutは「リスクの洗い出し」「内部DNSサーバーでシステムを構成する」「できればIPv6をブロックする」「セグメンテーションによるリスク軽減」「パッチの適用」「不審なパケットの監視」の6つの対策を強く推奨しました。

Forescoutによると、「AMNESIA：33」が含まれるライブラリを使用しているメーカーは150以上あると推定されており、その中にはキヤノンのグループ会社NT-Ware・シーメンス・Genetec・devolo・Microchipなどが含まれているとされています。

また、海外メディアのZDNetによると、影響を受けていると思われる製品はスマートフォン・ゲーム機・プリンター・ルーター・ネットワークスイッチ・IPカメラ・セルフレジ・無停電電源装置など多岐にわたるとのことです。

この問題に対し、IoT技術の標準化団体・ioXtアライアンスの最高技術責任者であるBrad Ree氏は、「コンポーネントの脆弱性は、IoT業界における積年の課題です。特に問題なのは、サプライチェーンの透明性が低いか、または全くないメーカーです。そうした企業が関わるこの手の問題は、長年にわたり尾を引く可能性があり、時にはメーカーの廃業や業態転換により消費者が取り残される場合もあります」とコメントしました。