1億台のデバイスにDoSやリモートコード実行の脆弱性「NAME:WRECK」、研究者ら報告

100億台を超えるデバイスに「NAME:WRECK」と呼ばれる脆弱性が存在する可能性が発表された。技術標準仕様を定めたRFCの複雑さがセキュリティリスクになっているとの見解を示した。

[後藤大地，有限会社オングス]

　インターネット接続を前提とするデバイスは増え続けているが、そうしたデバイスはますます脆弱（ぜいじゃく）性のリスクにさらされている。特にIoTデバイスや制御装置などのソフトウェアはPCやスマートフォンよりもセキュリティアップデートが適用されるまでに時間が掛かることが多く、場合によっては提供されないこともある。アップデートが提供されていても適用しないまま運用を続けるケースもある。研究者らがこうしたデバイスに存在する新しい脆弱性を公開した。影響を受けるデバイスは1億台を超えると見られている。

　セキュリティ企業ForescoutおよびJSOFのリサーチ部門であるForescout Research Labs、JSOF Research Labsは2021年4月13日（現地時間）、世界中で広く使われているITソフトウェアとIoT/OTファームウェアで使われている4つのTCP/IPスタックの実装を分析したところ、9つの脆弱性が存在すると報告した。研究者らは同報告書においてこれら脆弱性を「NAME:WRECK」と呼ぶ。報告書では該当するソフトウェアは100億を超えるデバイスに使用されており、仮にその1％が脆弱性に対処できていなかったと控えめに仮定しても、1億を超えるデバイスが「NAME:WRECK」の影響を受けると試算している。

NAME:WRECKに関する報告（出典：Forescout）

制御装置や重要サービスを支えるOS不備、複雑なRFC仕様と実装の難しさが露呈