Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに

The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。

[後藤大地，有限会社オングス]

　コンピュータ情報サイトの「The Hacker News」は2022年11月25日（現地時間）、Dellとヒューレット・パッカード（HP）、Lenovoのデバイスファームウェアに古いバージョンの「OpenSSL」が使用されていることが明らかになったと伝えた。

　同サイトは、サプライチェーンの構造によってこのような状況が引き起こされているとして注意を呼びかけている。

The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使用されていると報告した（出典：The Hacker NewsのWebサイト）

10年以上前のOpenSSLが使われているデバイスも見つかる

　The Hacker Newsはファームウェアセキュリティ企業のBinarlyの分析結果から、DellとHP、Lenovoのデバイスにおけるファームウェアイメージがどの程度古いOpenSSLを使用しているかを指摘した。その結果は以下の通りだ。

• Dell、Lenovo：OpenSSL 0.9.8l（2009年11月5日）
• Dell、HP、Lenovo：OpenSSL 0.9.8w（2012年4月24日）
• HP、Lenovo：OpenSSL 0.9.8zb（2014年8月6日）
• Lenovo：OpenSSL 0.9.8zd（2015年1月8日）
• Lenovo：OpenSSL 0.9.8ze（2015年1月15日）
• Lenovo：OpenSSL 0.9.8zf（2015年3月19日）
• Lenovo：OpenSSL 1.0.0a（2010年6月1日）
• Lenovo：OpenSSL 1.0.2d（2015年7月9日）
• Lenovo：OpenSSL 1.0.2f（2016年1月28日）
• Dell、Lenovo：OpenSSL 1.0.2g（2016年3月1日）
• Lenovo：OpenSSL 1.0.2h（2016年5月3日）
• Dell、HP、Lenovo：OpenSSL 1.0.2j（2016年9月26日）
• Dell、Lenovo：OpenSSL 1.0.2k（2017年1月26日）
• Dell、HP、Lenovo：OpenSSL 1.0.2u（2019年12月20日）
• Lenovo：OpenSSL 1.0.2b（2016年9月26日）
• Lenovo：OpenSSL 1.1.0g（2017年11月2日）
• Dell、Lenovo：OpenSSL 1.1.0h（2018年3月27日）
• Dell、Lenovo：OpenSSL 1.1.0j（2018年11月20日）
• Lenovo：OpenSSL 1.1.1d（2019年9月10日）
• Dell、Lenovo：OpenSSL 1.1.1l（2021年8月24日）
• Dell：OpenSSL 1.1.0e（2017年2月16日）
• Dell：OpenSSL 1.1.1n（2022年3月15日）

　The Hacker Newsは、デバイスファームウェアが同じバイナリパッケージで複数のバージョンのOpenSSLを使用している点に言及し、サードパーティー製コードの依存関係がサプライチェーンエコシステムにおいてより複雑な状況を生み出していると解説している。

　UEFIといったファームウェアにおける脆弱（ぜいじゃく）性は、OSに備わったセキュリティ機能の回避につながる。だが脆弱性が存在することが分かっていても、サプライチェーンの関係でアップデートが提供されなかったり、アップデートが提供されてもユーザーが適用しなかったりするケースもある。そのためサイバー攻撃に悪用されやすい領域の一つになっているため注意が必要だ。