ブログ IoT

Ripple20 IoT脆弱性への対策

Camille Campbell Senior Manager, Product Marketing 投稿日: 11月 29, 2020

Ripple20は現在、業界全体に衝撃を与えています。そうなるだけの合理的な理由があるのです。Ripple20は、スマートホームデバイス、産業用制御システム、医療およびヘルスケアシステム、さらにはエネルギー、輸送、通信、政府と国家安全保障部門などのインフラストラクチャの主要部分で使用されるデバイスを含む、数億ものエンドデバイスに影響を与える可能性のある19の脆弱性で構成されています。

すべての業界で話題になっているこのトピックに関してさらに情報が必要な場合は、この脆弱性群を発見した独立セキュリティ調査会社JSOFが公開している簡単な概要をご覧ください。

  • Ripple2019の脆弱性で構成されており、そのうち4つは重大と見なされている。
  • この脆弱性は、Treckと呼ばれる会社が開発したTCP/IPスタックで発見され、広く使用されており、IoTデバイスに埋め込まれる。
  • Treck TCP/IPスタックは20年以上前から存在しており、おそらく脆弱性も存在する。
  • サプライチェーンの複雑さのため、ネットワーク内のどのIoTデバイスがこの特定のTCP/IPスタックを実行するかを判断することは困難な仕事である可能性がある。Treckのコードは複数の異なる名前でライセンスされ、配布されている。そのため、サプライヤーは下請け業者に連絡を取り、深く掘り下げて、多くのエンドデバイスの中からどのTCP/IPスタックが使われているか掘り下げて特定する必要がある場合がある。
  • 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(US Cybersecurity and Infrastructure Security Agency,によると、産業制御システム、ならびに医療用機器の大半がRipple20に脆弱性があると考えられる。

脆弱性の重大度を理解するために、JSOF共通脆弱性評価システム(CVSS; Common Vulnerabilities Scoring System3.0を使用してスコアを割り当てました。CVSSは、脆弱性を評価するための無料でオープンな業界標準です。CVSSv3.0110の尺度があり、10が最も深刻です。

19の脆弱性の内訳:

  • 4つはCVSSv3.0 9の重大なリモートコード実行脆弱性。
  • 2つはCVSSv3.0 7とスコアが高い。
  • 残る13は、重大度が低い、情報漏えい、DoSなど。
  • IPv4IPv6UDPDNSDHCPTCPICMPv4ARPを含むスタック内で影響を受けるプロトコル。

どのような影響があるか

真の危険は、攻撃者がこれらの脆弱性を利用して、ユーザーの操作を必要とせずに、標的のIoTデバイスをリモートから完全に制御できることです。これにより、ランサムウェアなど、選択した悪意のあるコードを無理に実行したり、強制的に実行したりできるようになります。

さらに、これらの脆弱性の多くでは、送信されるパケットは有効なパケットと非常によく似ているか、場合によっては完全に有効なパケットです。これにより、攻撃は正当なトラフィックとして通過し、ファイアウォールや脅威検出システムによって検出されなくなります。

これらの危険性を説明するために、JSOFの研究者は、BlackHat USAに続いて今年2つのホワイトペーパーをリリースし、Schneider Electric UPSをオフにするためにいくつかのバグをいかに活用したかを示しています。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁によると、この黒雲の銀の裏地は、これらの脆弱性の既知のエクスプロイトはこれまで知られていないことであり、悪意のある攻撃者がそれらを悪用できるようになるには高いスキルレベルが必要になると予想されます。

いずれにせよ、重要なインフラストラクチャや患者のケアに使用されている医療機器を制御する悪意のある攻撃者による壊滅的な影響が考えられるため、警戒し、これらの脆弱性のリスクをできるだけ早く軽減することが最善です。

リスクを軽減する方法:  デバイスのアップグレードとパッチ適用

もちろん、リスクを軽減する最善の方法は、これらの脆弱性の影響を受けると思われるデバイスをアップグレードまたはパッチすることです。TCP/IPスタックの開発者であるTreckは、報告されたすべての問題をすでに修正しており、最新のコードリリース(6.0.1.67以降)またはパッチのいずれかを通じて顧客に提供しています。Treckは脆弱性対応用のWebサイトをこちらで用意しています。

ただし、前述のように、どのデバイスが影響を受ける可能性があるかを特定することさえも複雑であるため、パッチの適用とアップグレードの実行は説明ほど簡単ではありません。そして、膨大な数のデバイスが対象であり、その多くはビジネスクリティカルな機能を提供します。20年前に遡りパッチまたはアップグレードする必要があるでしょう。

カーネギーメロン大学ソフトウェア工学研究所のCERT Coordination Centerは、これらの脆弱性の影響を受けることがわかっているベンダーのリストを提供しています。このリストには、Xeroxなどのプリンタサプライヤーから、Caterpillarなどの重工業機器サプライヤーまで幅広く載っています。多くのサプライヤーへの影響はまだ不明であるため、このWebサイトをブックマークして頻繁に参照することをお勧めします。

アップグレードとパッチ適用が単純に実行不可能である場合はどうするか

さまざまな理由により、エンドデバイスのアップグレードおよびパッチ適用が実行できない場合があります。この場合、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は次のアクションを実行することを推奨しています。

  • 影響を受けると思われるデバイスがインターネットからアクセスできないようする。
  • 疑わしいすべてのデバイスをビジネスITネットワークから分離する。
  • デバイスへのリモートアクセスが必要な場合は、必要なすべてのセキュリティパッチとアップグレードで完全に最新の安全なVPNを使用する。

また、CERT CCは、疑わしいデバイスを攻撃のリスクから保護するのに役立つ、いくつかの貴重なネットワーク緩和策を提供しています。これには、IP断片化トラフィックのブロックや、可能であればIPソースルーティングのブロックなどが含まれます。

Extremeができること

高価値のアセットを迅速に保護する必要がある会社はExtremeDefender for IoTソリューションが医療機器や産業用制御システムなどのエンドポイントの保護、分離、監視に役立ちます。このソリューションは、ネットワークのアップグレードや複雑なセキュリティアプライアンスを必要とせずに、IoTの安全な接続を迅速かつ簡単に実現できるように、あらゆるネットワークインフラストラクチャ上で動作するように設計されています。これは、この脆弱性または他の脆弱性を含むことが疑われるミッションクリティカルなデバイスの潜在的な攻撃面を減らすための迅速かつ簡単な方法です。  

Defender for IoTは次の重要な機能を提供します。   

脆弱性のあるデバイスの可視性を制限するためにデバイスからデータセンターに拡張する独自のIPsec暗号化セグメント(またはFabric Connectハイパーセグメント)にIoTデバイスのグループを分離します。これらのセグメントは、経過時間や機能に関係なく、任意のIPネットワーク(Extremeまたはサードパーティ)にオーバーレイできます。

許可されたプロトコルまたはアプリケーションのみを使用して、許可されたホストのみに通信をロックダウンするホワイトリストプロファイルを適用します。

  • プロファイルは、通常の操作動作のデバイスに基づいて動的に生成できる。
  • プロファイルが学習されると、それをそのまま使用し、変更してから、適用済みをIoTデバイスに保存して、ポリシーに準拠するトラフィックのみを許可できる。

IoTセキュリティを強化するためのインフラストラクチャの展開に関連して企業が取ることができるいくつかの長期的な戦略には、次のものがあります。

  • 包括的なエンドツーエンドのネットワークセグメンテーション戦略を展開する。 セイバーセキュリティの専門家達は一同にIoTデバイスのセグメント化が必要と同意します。これは、すべてのIoTデバイスを単一のセグメントにまとめるという意味ではありません。独自のセキュアセグメント内の各タイプのIoTデバイスを意味します。セクメンテーションに関する詳細やExtremeFabric Connectなどのファブリック技術によるシンプル化、スケーラブル、本質的にセキュアなセグメンテーションを学ぶには、このIDGでのオンデマンドのウェビナーをご視聴ください。
  • AI/ML駆動の洞察と包括的なデバイスフィンガープリントのために、クラウドベースのインフラストラクチャ管理に目を向けてください。 IoTのセキュリティ保護に関する一般的な課題の1つは、ネットワークに接続している各エンドポイントの可視性の欠如です。  そして、見えないものの安全を保護することはできません。ExtremeCloud IQを利用して、世界最大のデバイスフィンガープリントデータベースであるFingerbankへの同期を提供しているため、IoTデバイスがネットワークに接続すると、デバイスが検出され、署名が割り当てられます。次に、ルールを適用して、必要なリソースのみへのそのデバイスのアクセスを制御できます。クラウドに対する他の主な利点は、エンドポイントで取得できるすべてのAI/ML駆動の洞察であり、これにより、動作が通常の操作動作から逸脱した場合に、デバイスにフラグを付けて、さらに調査するために隔離できます。

重要な業界リソース:

これらの脆弱性の影響についてはまだ学ぶべきことがたくさんあるので、最新の情報にアクセスしていることを確認するために参照できるいくつかの貴重なWebサイトを以下に示します。

詳細情報:

「ネットワークセキュリティのベストプラクティストップ10」電子書籍に登録してダウンロードしてください