　IoT機器や産業制御システムなど何億台ものデバイスに影響するという脆弱性が、セキュリティ研究者によって発見された。悪用されればこうした装置がダウンしたり攻撃者に制御されたりする恐れがあり、影響は大手企業のサーバや医療機器、小売りや製造設備など広範に及ぶ。脆弱性修正のためのパッチは公開されているものの、こうした「つながるモノ」へのパッチ適用を徹底させる難しさも浮き彫りになった。

　「NAME:WRECK」と呼ばれるこの脆弱性は、高性能サーバや組み込みデバイス用OSとして広く使われている「FreeBSD」や、産業システムの制御に使われるSiemensのリアルタイムOS「Nucleus NET」などに存在する。こうしたリアルタイムOSは、サーバやプリンタ、ネットワーク機器のほか、産業制御システムや医療機器などに広く搭載されている。FreeBSDは米YahooやNetflixといった大手のWebサイトでも採用しているという。

　発見したのはIoTセキュリティ対策を手掛ける米Forescoutとイスラエルの研究機関JSOF Research。脆弱性は9件あり、こうした機器がインターネットと通信する際に使われるDNS技術の実装問題に起因している。悪用された場合、サービス妨害（DoS）やリモートコード実行などの攻撃を仕掛けられる恐れがあるという。

Forescoutの記事

　研究チームの推計によると、FreeBSDやNucleus NETなどは世界で100億台を超す機器に使われていて、低く見積もってその1％に脆弱性が存在するとしても、少なくとも1億台の機器に影響が及ぶ計算になる。

　今回の脆弱性を突く攻撃は現時点では報告されていない。だが過去のIoT機器を狙った攻撃では、米航空宇宙局（NASA）ジェット推進研究所のデータがRaspberry Piを使って盗まれたり、ラスベガスのカジノがネット接続型の温度計経由でハッキングされたり、石油・ガス会社のデータが運動用バイク経由で盗まれたりする事案が確認されているという。

　今回の脆弱性も同じような形で悪用される恐れがあり、つながる機器が侵入経路として利用されて、別の脆弱性と組み合わせるなどの手口で攻撃されれば、データの窃盗や改ざん、破壊活動といった被害を発生させかねない。

ヘルスケア、政府機関への影響も

　　　　　　 1|2 次のページへ