今では小さなIoTデバイス、Wi-Fiルーター、プリンタのようなレガシーなものまで、様々な機器が社内のネットワークに接続されています。残念ながら、こういったデバイスをネットワークにつなぐには注意が必要と言わざるを得ません。
パフォーマンス優先でセキュリティは二の次
ハードウェアを含めた機器は、機能を実現する必要最低限の構成で作られているものがほとんどです。性能を上げればコストが高くなって、メーカーの利益は減りますので当然のことです。
通信一つとっても、暗号化せずにそのままデータを送るのと、暗号化処理してからデータを送るのではコストが違います。まず暗号化するのに十分なCPU性能を確保して、一時的にデータを蓄積するために十分なメモリ容量を確保して、こういった処理を遅延なく実行するためにクロック周波数を上げてとかで、どうしてもより高価な構成になってきてしまいます。
暗号化されているということは、鍵情報を扱う必要があるとかユーザーにそれなりの知識と手間を要求することになります。しかしそういった操作性の壁をクリアすることができず、暗号化されないままtelnetでユーザー名とパスワードは、rootかadminかで入れてしまう機器が沢山あります。
イントラネットが安全という神話
以前はイントラネットはファイヤウォールで守られていて安全という時代がありましたが、今はそうではありません。マルウェアだけではなく、ゼロデイ攻撃により平然と侵入されてしまいます。
脆弱性は発見されるとすぐに公開されるわけではなく、悪意があるブラックハッカーが見つけた脆弱性は、ブラックマーケットで売買され、長期にわたって表に出ることはありません。某政府機関も見つけた脆弱性を国防のためとかですぐに公開しなかったことは公になっています。
こういったゼロデイ攻撃に対しては、ほぼ有効な対策がありません。できることは迅速なバージョンアップや、EDRの導入や、運用で工夫する以外ないです。
米国国防総省は2022年11月にゼロトラスト戦略を打ち出しています。ファイヤウォールで守られたネットワークという神話を捨てて、ゼロトラストの様々な機能によりセキュリティを担保する動きに変わっています。
迅速にバージョンアップできない機器は危険
組込み機器の開発は、一度設計して実装してしまえば開発チームは解散して、メンテナンスチームが後を任されたりします。使用しているOSSのメジャーバージョンアップとかを様々な影響を考えながら行える体制を整えているのであれば良いですが、そうでない場合がほとんどだったりします。
古いアーキテクチャを使いまわして作っているような機器では、昔の実装を誰も触れないなんてこともあって、たとえ修正ができたとしても時間がかかったり、結局修正できなかったという落ちもあります。
ファームウェアのバージョンアップは、自動で行われる場合や、手動でパッチ提供されるものもありますが、どちらでもリリース頻度を確認する必要があります。規模にもよりますがLinuxカーネルくらいが入っている機器では最低四半期に一度程度はアップデートがされないものは、メーカーの意識が低くリスクが大きいとみてよいでしょう。
SBOMを入手しましょう
日本でも経済産業省がソフトウェア管理に向けたSBOMの導入に関する手引を発表しているように、近年ではSBOMを取り寄せ脆弱性を確認することが一般的になってきています。
まずご利用の機器のサポート窓口にSBOM提供を依頼してみましょう。その対応でメーカーの脆弱性に関する姿勢が見て取れます。すぐにSBOMが出てくるメーカーはまず問題はありません。なんとか出してきたメーカーも今の段階では問題ないでしょう。全く出てこなかったり、そもそもSBOMとは何かを聞いてくるようなメーカーの機器は、即刻ネットワークから排除したいところです。
まとめ
イントラネットに接続されている機器は、頻繁に更新が行われているPCやスマートフォンだけでなく、レガシーなデバイスも数多くあります。更新頻度が少ない機器は十分な対策がされておらず、ゼロデイ攻撃等に対して無防備になっている可能性が高いです。
どうしても必要な機器に関しては、重要なデータにアクセスできるイントラネットとは別の情報漏洩リスクのない独立したネットワークにするか、ネットワーク接続はやめてUSBなどのローカル接続に変えるなどで踏み台リスクは減らしたほうが良いでしょう。
コメント