セキュリティの
学び場

今回の解説ニュース

空調管理システムに複数の脆弱性が発見されました。対策として、アップデートを適用するか、悪意のある第三者が空調管理システムへアクセスできないように制限することが必要です。空調管理システムをはじめとする組み込み機器のセキュリティ対策について説明します。

発見された脆弱性の1件目は「XML外部実体参照」に関する脆弱性で、悪意のある第三者がリモートから機器内部情報を取得したり、機器が使えない状態にできる可能性があるということです。

2件目は「認証アルゴリズムの不適切な実装」に関する脆弱性で、空調管理システムのWeb画面にログインできる第三者が製品を管理者権限で操作することができ、空調管理システムの設定情報を取得されたり、空調機器の設定情報を改ざんされたりする可能性があるということです。

脆弱性に対策するためには、各製品および型番に対応したアップデートを適用することが必要です。また、何らかの理由でアップデートができない場合は、悪意のある第三者がアクセスできないように、信頼できるネットワークやVPN経由のアクセスに制限することや、アクセスする端末のセキュリティ対策を実施して、脆弱性の影響を軽減するよう呼びかけています。

発見された脆弱性「XML外部実体参照」と「認証アルゴリズムの不適切な実装」を解説

今回発見された脆弱性である「XML外部実体参照」と「認証アルゴリズムの不適切な実装」について、脆弱性の内容と考えられる被害について、あくまでも一般論として説明します。

XML外部実体参照

XML外部実体参照とは、XML External Entityとも呼ばれXXEと略されます。主にWebアプリケーションで発生する脆弱性で、悪意のある第三者がXXEで攻撃することができるサーバがアクセスできるファイルを取得できる可能性があります。具体的には、XXEで攻撃できるサーバ内のシステム情報が保存されたファイルや、Webアプリケーションのソースコードなどが読み取られる可能性があります。

認証アルゴリズムの不適切な実装

認証アルゴリズムの不適切な実装ですが、これはそのまま、認証のアルゴリズムに問題があるということで、今回の空調管理システムですと「権限昇格」の問題があるということです。権限昇格の問題とは、Privileges Escalationとも呼ばれ、一般ユーザに与えられた権限が管理者など上位の権限を持つユーザに意図せず昇格してしまう脆弱性です。今回のようにアルゴリズムの問題や、管理者権限を持ったプログラムが乗っ取られることなどによって発生します。

組み込み機器の脆弱性は個人宅でも確認を

組み込み機器の脆弱性は、法人だけでなく個人でも確認することが必要です。理由として、社会の変化が影響していますので、その内容について説明します。

一家に一回線のインターネットが当たり前となり、モノがインターネットにつながるIoT機器が一般化しています。スマートハウスを含めたIoT機器は常時ネットワークに接続されるため、脆弱性が発見された場合、マルウェアやサイバー攻撃の影響を直ちに受けてしまう可能性があります。マルウェアの攻撃は無差別であり、一般家庭のIoT機器でも例外ではありません。

また、空調や自動車、医療機器など、設定の不備によっては人命にかかわる問題が発生する可能性がある機器も、ネットワークに接続できる機能が実装されることが多くなってきました。脆弱性が及ぼす影響範囲がかつてないほど大きくなっていることは言うまでもありません。

さらに、これらのIoT機器と同居する形で、在宅勤務のパソコンが接続されることになります。仮にIoT機器単体の脆弱性が及ぼす影響範囲が限定的であっても、IoT機器を踏み台とした攻撃が在宅勤務のパソコンへ到達する可能性を否定することはできません。

以上の理由から、法人だけでなく個人でもIoT機器の脆弱性は確認することが求められます。個人でIoT機器の脆弱性情報を収集することは簡単ではありませんが、緊急度の高い脆弱性についてはセキュリティラジオでも触れさせていただきますので、在宅勤務で家庭のネットワークでも一定レベルのセキュリティが必要になっている中、皆さんにとって参考になれば幸いです。