キヤノンMJ/サイバーセキュリティ情報局

IoT機器に影響を与える脆弱性「Ripple20」とは

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「IoT機器の脆弱性Ripple20に対して求められる対策とは? 」を再編集したものです。

 2020年夏にサイバーセキュリティ業界で大きな問題となった脆弱性群「Ripple20」。このRipple20は、多くの脆弱性を抱えるため、世界中のさまざまなIoT機器に影響を与える可能性が指摘されている。どのような経緯でこのRipple20という脆弱性群が生じたのだろうか。この記事では、Ripple20の概要や対処方法などについて解説していく。

Ripple20とは

 「Ripple20」とは米国Treck社製TCP/IPライブラリで見つかった、19個のセキュリティ上の脆弱性の総称であり、イスラエルのサイバーセキュリティソリューション企業JSOF社が2020年6月16日に初めてRipple20に関する情報を公開している。その情報によると、19の脆弱性のうち4つが深刻度最高の「Critical(緊急)」となっており、仮に攻撃者がその脆弱性の悪用に成功すると、その機器において任意のプログラムが実行可能になると見られているため、極めて深刻だと言われている。

 TCP/IPはインターネットの基本的なプロトコルであり、インターネットへの接続が前提となるIoT機器にはほぼTCP/IPライブラリが使用されていると言っていい。送電網のようなインフラや工場、病院など、日常生活で重要度の高い施設で利用されているIoT機器でもTCP/IPライブラリを使用していることは少なくない。

 TCP/IPライブラリはオープンソースのものを含め、さまざまなものが提供されているが、中でもTreck社のTCP/IPライブラリは利便性の高さを背景に、多くのIoT機器で使われている。これらの機器がRipple20のうち、いずれかの脆弱性を抱えている場合、サイバー攻撃を受ける可能性があり、深刻な被害につながりかねない。

IoT機器に影響を及ぼすRipple20

 Treck社のTCP/IPライブラリは20年以上前にリリースされたものだが、動作が軽く、少ないリソースで動作するため、世界中のさまざまなベンダーが直接的あるいは間接的に利用している。そのため、Ripple20の影響を受ける機器が全世界に数億台以上もあることが懸念されている。

 TCP/IPライブラリは、ソフトウェアコンポーネント(ソフトウェアのパーツ)として、ほとんどのIoTベンダーが製品に採用している。ユーザーから見れば、自分が使用している製品のベンダー名は容易にわかるだろうが、その製品がどのソフトウェアコンポーネントを使用しているかを把握することは難しい。近年、テクノロジー関連の製品でもグローバル化が進んだ結果、サプライチェーンが複雑になっていることが問題をややこしくしてしまっている。

 例えば、サプライチェーンの一部にRipple20の影響を受けるソフトウェアコンポーネントが含まれていれば、製品にもそのまま、その脆弱性が引き継がれることになる。ある調査では、インテル社やHP社、シュナイダーエレクトリック社、ロックウェル・オートメーション社など海外の大手企業の製品も少なからず影響を受けている可能性があるとの指摘もある。最終的に影響を受ける業界は、通信、小売、商社、医療、輸送、工業など広範囲に及ぶものと推測されている。

Ripple20に対するベンダー各社の対応

 JSOF社がRipple20に関する情報を公開したことで、Ripple20の影響を受ける恐れがある機器を製造しているベンダー各社が次々にRipple20への対策を発表している。例えば、Dell社は2020年11月に「Ripple20の脆弱性に対するデルの対応」というドキュメントを公開し、Ripple20の影響を受ける製品とその対策を明らかにしている。また、日本国内でもリコーがデルに先駆け、2020年7月に『「Ripple20」によるリコー製品への影響について』とのドキュメントを公開している。

Ripple20の脆弱性に対するデルの対応

「Ripple20」によるリコー製品への影響について

このように、Ripple20の影響を受ける機器とその対策に関する情報については、各ベンダーが自社のウェブサイトで公開している。IoT機器の場合、ファームウェアに脆弱性が見つかることも少なくない。対策済みファームウェアにアップデートすることで、その脆弱性を解消することができる。Ripple20についてはもちろんだが、自らが利用しているIoT機器について、製品のウェブサイトなどを確認し、関連する情報が公開されていないか、一度チェックするようにしてほしい。

Ripple20以外にも存在する脆弱性群

 数多くのIoT機器が影響を受ける可能性が高い脆弱性群はRipple20だけではない。最近確認されたもので影響が大きいと思われる脆弱性群としては、「AMNESIA:33」と呼ばれるものがある。

 AMNESIA:33は2020年12月8日にセキュリティ企業のForescout社によって発表された脆弱性群であり、世界中で使われている4つのTCP/IPオープンソースライブラリ「picoTCP」、「FNET」、「uIP」、「Nut/Net」で発見された。名称の通り、合計で33個の脆弱性が含まれており、そのうち13個は「uIP」に、10個は「picoTCP」に、「FNET」と「Nut/Net」にそれぞれ5個ずつ存在する。AMNESIA:33の脆弱性が含まれるTCP/IPライブラリを使用しているベンダーは150以上あると推定されており、影響を受ける機器は100万台を超えるともみられている。

 このような脆弱性群はRipple20やAMNESIA:33だけでなく、今後も発見される可能性が見込まれる。というのも、IoT製品はその特性ゆえに、外部との通信を行なうことが前提となる。そして、ソフトウェア全般に言えるが、機能アップデートなどを続ける限り、脆弱性が解消されることはない。すなわち、利便性の享受と引き換えに、脆弱性というリスクが伴うとも言える。重要度が高い機器であればあるほど、脆弱性というリスクを重く捉え、アップデートも慎重を期して行なわれる。

 しかし、さまざまな機器が入り乱れ連携して通信を行なう時代にあって、リリース前にすべての脆弱性を解消することはほぼ不可能な状況となっている。ユーザーとしては、IoT機器も他のソフトウェアと同様に、脆弱性が生じる可能性を踏まえ、日ごろから脆弱性に関する情報を収集しておくといった対応が求められるだろう。

IoT機器にも適切なセキュリティ対策が必要

 オフィスでも自宅でも、IoT機器が当たり前のように利用されるようになって久しい。そうした変化を狙って、サイバー攻撃は増加傾向にある。インターネットへの常時接続が基本となる、IPカメラやルーターなどのIoT機器を利用するにあたっては、パソコンやサーバーなどと同様に、サイバー攻撃の的になり得ることをユーザー側も十分に理解しておかなければならない。IoT機器の脆弱性を突かれて侵入を許してしまうと、その機器を踏み台に同じネットワーク上にある他の機器にも次々と侵入されてしまう可能性があり、被害が拡大してしまう恐れがある。

 何かを得れば何かを失うというのは世の理ともいえる。IoT機器という利便性の高いものを利用するためには、常にセキュリティに留意することが求められるのだ。パソコンやサーバーと同様にセキュリティ意識を高め、脆弱性に関する情報などの定期的な確認は欠かせない。また、最新のファームウェアをチェックし、リリースされたら直ちにアップデートするといった対応も必要だろう。そして、IoT機器が接続されているネットワークを監視する機能が含まれているセキュリティソフトの導入など、セキュリティレベルを向上させる取り組みも積極的に進めてほしい。