業界別に見ると、脆弱性のあるFreeBSDを使っている業界はエンターテインメント、ヘルスケア(医療)、政府機関の順に多く、Nucleus RTOSはヘルスケアが筆頭を占める。セキュリティ企業のMalwarebytesは医療機関への影響について、「今回の脆弱性で最も不安が大きいのは、既に多大な圧力にさらされ、サイバー攻撃の標的にされている業界だ」と指摘する。
対策として、FreeBSDやNucleus NETの脆弱性修正パッチが公開されたほか、こうしたソフトウェアを使っているデバイスのメーカーからも顧客向けにアップデートが提供される見通し。
ただ、「デバイスにパッチを当てることが必ずしも可能とは限らず、必要とされる労力はそのデバイスが標準的なITサーバなのかIoTデバイスなのかによって大きく異なる」とForescoutは言う。
IoT機器の場合、どのTCP/IPスタックが使われているのかがユーザには分からず、脆弱性のある機器を特定してパッチを適用する作業に時間がかかる。パッチはユーザーが手動で適用する必要があり、医療機器や産業制御システムなどミッションクリティカルなシステムはダウンさせるわけにいかないといった問題もある。
脆弱性を発見した研究チームはDNSの根本的な問題も指摘し、「DNSプロトコルの複雑性が、脆弱性のある実装につながっていることが改めて証明された。問題は現在分かっている以上に広範に及ぶと思われ、業界が行動を起こす必要がある」と提言する。
身近な場所でもルータやプリンタからスマート家電、防犯カメラ、つながるクルマに至るまで、あらゆる場所でつながるモノは増え続けている。けれどPCやスマートフォンと違い、それぞれにどんなOSが搭載されていて、どんな脆弱性があり、それが修正されているのかいないのか、ユーザーが意識することはほとんどない。今回の脆弱性は、IoT機器がはらむそんな危険性を浮き彫りにした。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR