IMAGE BY CASEY CHIN; GETTY IMAGES

オフィスの電話やルーターは、長年にわたり非常に深刻な脆弱性を抱え、幾度となく話題にされてきた。そして今回、またもや新たな脆弱性が加わった。

研究者らによると、卓上電話やウェブカメラ、ネットワークスイッチなど、このほどシスコのエンタープライズ向け製品で発見された一連の欠陥を悪用すると、企業ネットワークの奥深くに侵入できる可能性があるという。シスコはネットワーク機器市場をほぼ独占しているため、バグの影響は数百万デヴァイスにも及ぶ。

複数のシスコ製デヴァイスをまとめて攻撃可能に

どのソフトウェアにも欠陥はあるが、組み込みデヴァイスの場合は問題が特に深刻になる。スパイ行為に悪用される恐れがあるうえ、修正作業が複雑であるからだ。

セキュリティ企業のArmisが発見した今回の脆弱性には、システム管理者がネットワークの各所を分割する「セグメンテーション」が突破され、侵入範囲が広がるという問題がある。攻撃者は、内部ネットワークでデータを中継するシスコ製ネットワークスイッチのうち脆弱性のあるものを標的に、暗号化されていない内部情報を大量に傍受し、標的とするシステムの各部を動き回ることができる。

さらに攻撃者は、Armisがこのほど開示した別の脆弱性を用いて、複数のシスコ製デヴァイスをまとめて攻撃することも可能だ。例えば、すべての卓上電話やすべてのウェブカメラを一気に攻撃するといった具合である。これによりデヴァイスは機能を停止するか、もしくは標的とされた組織内の“スパイ”に仕立て上げられてしまう。

「ネットワークのセグメンテーションは、IoTデヴァイスのセキュリティを確保するための重要な手段です」と、Armisの研究担当ヴァイスプレジデントのベン・セリは言う。「それでも、ときに脆弱性が見つかります。エンタープライズ向けデヴァイスが世界中で標的になっていることは周知の事実です。こうしたタイプの脆弱性があると、持続的標的型攻撃（APT攻撃）のグループなどにとって非常に強力なツールになります」

一瞬で大量のデヴァイスを標的に

脆弱性が発見されたシスコ検出プロトコル（CDP）と呼ばれるプロトコルは、プライヴェートネットワーク内に配置されたシスコ製品が互いの“素性”をやり取りできるようにする。CDPは、ネットワークデヴァイス間で基礎的なデータリンクを確立する「レイヤー2」で動作する。どのデヴァイスもブロードキャストによる何らかの検出プロトコルを用いているが、そのひとつであるCDPはシスコの固有の技術だ。

シスコ製品を区別するためにCDPを有効にすると、インフラ構築におけるメリットがある反面、侵入に成功した攻撃者に使われればシスコ製品を容易に見つけられてしまうと、セリは指摘する。さらに、すべてのシスコ製品がCDPを利用していることから、ひとつの脆弱性を悪用するだけで、一瞬で大量のデヴァイスを同時かつ自動的に標的にすることができる。

しかも、ネットワークスイッチのような重要なデヴァイスを乗っ取り、それを踏み台にして移動することまで可能になる。どのレイヤー2プロトコルにも潜在的なバグは存在している。だが、CDPの脆弱性は単に、いたることろに存在するシスコ製品に対する、特に効率的な攻撃経路を提供しているにすぎない。

Armisから8月末に調査結果の開示を受けたシスコは、5つの脆弱性すべてに対応するパッチをリリースしている。5つもある理由は、シスコが製品ごとにCDPの実装方法を多少変えているからだ。Armisは、開示プロセスを通して発見したすべての関連するバグを、シスコと共同で修正している。

「わたしたちは2月5日、複数のシスコ製品について、シスコ検出プロトコルの実装における脆弱性に加え、ソフトウェアの修正情報と対応策を開示しました」と、シスコの広報担当者は説明している。「記載された脆弱性に関する悪意ある使用は認識していません」

注意を呼びかけてきた研究者たち

攻撃者がバグを悪用するには、まず標的とするネットワークに足がかりが必要になる。しかし、ひとたび足がかりができれば、瞬く間に侵入範囲を拡大し、シスコ製のデヴァイスに次々と侵入し、システム内部の奥深くにまで到達する。スイッチやルーターを制御下に置いた攻撃者は、ファイルやコミュニケーションなど、暗号化されていないネットワークデータを傍受することも、ユーザーとデヴァイスの認証を管理する「Active Directory」にアクセスすることも可能になる。

「それでも中継機器ごとに突破する必要があるので、ハッカーはネットワークごとに基本的な攻撃ベクトル（侵入経路）が必要です」と、IoTセキュリティ企業のRed Balloonの創業者である崔昂（ツィ・アン）は語る。崔はこれまでに、シスコ製品の多くの脆弱性を発見し、開示してきた。

「しかし、どの中継機器も同じ脆弱性を抱えていることから、ネットワーク内のすべてのスイッチ、ファイアウォール、ルーターがその影響を受ける可能性があります。大量のデヴァイスを制御下に置く必要がありますが、それさえできればネットワークを隅々まで乗っ取ったも同然です」

また崔によると、研究者らは過去数十年にわたり、CDPの脆弱性が悪用される前にシスコが修正したり、悪用を最小限に抑えられるように脆弱性をいち早く発見したりするよう、注意を呼びかけてきたという。

そうしたエンタープライズ向けIoTのバグの悪用に関する懸念は、単に理論上のものではない。マイクロソフトの研究者らは19年8月、ロシア政府が支援しているとされるロシアのハッカー集団が、卓上電話、プリンター、その他の職場のIoTデヴァイスを攻撃し、企業ネットワークに侵入していたことを発見した。米国土安全保障省は、企業ネットワークのインフラを保護する重要性について警告を発している。

パッチ適用時の課題も

シスコがリリースしたパッチは重要である。しかし、脆弱性を抱えたデヴァイスの多くが自動アップデート機能を備えておらず、手動でパッチを適用する必要があるのだと、Armisのセリは言う。

こうした作業はエンタープライズ向けのスイッチやルーターにおいては、特に困難といえる。ネットワークが停止しないよう慎重にパッチを適用する必要があるからだ。ほかにも企業が検討できる対応としては、スイッチなどのデヴァイスでCDPを無効にする方法もあるが、これだと別の問題が生じる恐れがある。

いずれにせよ、シスコの機器は世界中の企業ネットワークに普及している。それを考えると、最初のステップはとにかく修正プログラムを現場に届けることだろう。