【Amnesia:33 - 100万台以上のIoTデバイスに影響する、危険なTCP/IPの脆弱性が発見される】
PR TIMES / 2020年12月23日 16時45分
CVSSスコア9.8(緊急)を含む、当該脆弱性を悪用されると、第三者によってサービス運用妨害や任意のコードの実行が可能
日本メーカーでも採用されている、複数の組み込み TCP/IP スタックに合計33個の脆弱性が発見されました。脆弱性の対応は開発の段階から製品情報システムセキュリティを最小限に抑えることによりより効率的に対応できます。その際に活用いただく、弊社提供の”脆弱性自動検証ツール”と”セキュリティアセスメントサービス”をご紹介します
Forescoutのセキュリティリサーチャー発表によると、uIP・FNET・picoTCP・Nut/Netの計4つのTCP/IPスタックのOSS(オープンソースソフトウェア)ライブラリに、合計33個の脆弱性が発見されました。このライブラリはIoTデバイスやOTデバイスにて様々なデバイスベンダー様にて採用されており、及ぼす影響規模は100万台以上に上ると推測されます。また、この脆弱性はメモリ管理の不備に起因しており、当該脆弱性を悪用した場合次の影響が想定されます、遠隔の第三者によって、サービス運用妨害(DoS)や任意のコードの実行が可能になります。
2020/12/9US-CERT(米国)がCVSSスコア9.8(最大10)とのスコアを算出し、広く対策を呼び掛けています。また、同日にはJVN(日本)からも” JVNVU#96491057 複数の組み込み TCP/IP スタックにメモリ管理の不備に起因する複数の脆弱性”として公表され、広く対策を講じるよう呼びかけられています。
このような脆弱性が発見された場合、ベンダーはパッチを提供するなど対策に負担がかかります。しかしながら、このような重大な問題が発見された場合でも、IoTのセキュリティは対応が難しいというのがこれまでの一般的な考えでした。
しかしながら一部の企業様では、セキュアバイデザインの思考を社内に導入し、開発の段階から製品情報システムのセキュリティを最小限に抑えることに成功しています。その他にも予防方法として知られていることは以下の通りです:
製品を定期的にセキュリティチェックし、既知の脆弱性に対応する
IoTデバイスベンダー/開発メーカー様において、開発段階から既知/未知の脆弱性調査を行う
SSDLC(セキュアソフトウェア開発ライフサイクル)を開発の際に導入する
弊社にて下記のソリューション/サービスを提供しております:
【HERCULES SecDevice脆弱性自動検査ツール】
当ツールにてネットワーク機器(IoT含む)全般に対し、製品のセキュリティアセスメントを自社にて自動で行って頂くことが可能です。検証ラボレベルの140以上のテスト項目を有しており、豊富な既知の脆弱性DBを利用したスキャン以外にも、ファジング技術による未知の脆弱性をあぶり出します。
【セキュリティアセスメントサービス】
弊社では国際的なISO規格や、業界規格をベースにしたより網羅性の高い製品情報システムのセキュリティアセスメントを弊社ラボにて検査するサービスも提供しております。当該検査ラボはISO17025やioXt認定ラボとして承認されているなど、検査技術のレベルにも外部から評価されております。
【お問合せ先】
ONWARD SECURITY JAPAN株式会社
電話: 03-6453-0061
E-Mail:contact@onwardsecurity.com
(日本語/英語/中国語 可)
参考リンク:
https://thehackernews.com/2020/12/amnesia33-critical-tcpip-flaws-affect.html
https://gigazine.net/news/20201210-amnesia-33-vulnerabilities-iot-smart-home-devices/
https://www.forescout.com/research-labs/amnesia33/
https://jvn.jp/vu/JVNVU96491057/
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
バッファローの無線LANルータに複数の脆弱性、アップデートを
マイナビニュース / 2024年4月16日 16時31分
-
ダークトレース、プロアクティブなセキュリティ運用を独自のAIで実現する新プラットフォーム Darktrace ActiveAI Security Platform(TM)を発表
@Press / 2024年4月12日 10時0分
-
PLANEXの無線LANルータ「MZK-MF300N」に複数の脆弱性、利用停止を
マイナビニュース / 2024年4月5日 18時5分
-
【最新情報での事前対策が鍵】サイバー攻撃を未然に防ぐ新セキュリティサービス登場- 最新の脆弱性情報をいち早く入手して対策状況を一元管理 -
Digital PR Platform / 2024年4月3日 11時10分
-
エレコムの無線LANルータに複数の脆弱性、更新を
マイナビニュース / 2024年3月27日 18時37分
ランキング
-
1グリコ「チルド食品」出荷再開→再停止…システム障害で 乳製品・洋生菓子など、5月中旬の再開目指す【全文】
ORICON NEWS / 2024年4月19日 18時57分
-
2日本在留の外国人が日本で働きたくない理由 2位は「働く環境が悪い」、1位は?
ITmedia ビジネスオンライン / 2024年4月19日 17時15分
-
3東証、一時1300円安 大幅反落、2カ月ぶり安値水準
共同通信 / 2024年4月19日 12時5分
-
4東証大幅反落、終値1011円安 中東緊迫、3年2カ月ぶり下げ幅
共同通信 / 2024年4月19日 17時36分
-
5格安スマホの利用者は約4割 実際に支払っている月額利用料金の2位は「2000円台」、1位は?
ITmedia ビジネスオンライン / 2024年4月19日 17時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください