HOME コラム一覧 知って得するセキュリティのはなし その29

知って得するセキュリティのはなし その29

post_visual

ルータ、エレベーターなど2億台のデバイスに影響を及ぼす脆弱性「URGENT/11」

1.このニュースをザックリ言うと・・・

- 7月29日(現地時間)、IoTセキュリティベンダーの米Armis社より、組み込み機器向けOSの「VxWorks」に未修正の脆弱性が存在すると発表されました。
- VxWorksは、工場・エレベーター・産業機器や医療機器の制御システムから、ファイアウォール・ルータ・VoIP電話・プリンタ等のネットワーク機器まで、20億以上のデバイスに搭載されていると言われるRTOS(リアルタイムOS)です。
-脆弱性はCVE-2019-12255~CVE-2019-12265の11個発見されたことから「URGENT/11」と呼ばれており、バージョン6.5以降のVxWorksでTCP/IP通信機能に存在するとされ、影響を受ける機器は2億個以上に及ぶとされています。
- VxWorksの開発元であるWind River社では、Armis社と共同で問題に対応、6月には顧客に対し通知を行っており、既に修正パッチもリリースしているとのことです。

2.執筆者からの所感等

- 現時点でURGENT/11を悪用した攻撃は確認されていないとのことですが、ネットワークカメラ等で大規模な感染拡散を引き起こした「Mirai」のようなマルウェアが発生する可能性は決して否定できず、例えば、エレベーター等を制御するOSへのマルウェア感染により、多くのビルにおいて連鎖的な機能停止が発生する恐れも考えられます。
- ともあれ、機器にインターネットから不特定多数がアクセス可能であったり、あるいは社内LAN上のクライアントPC等と想定外の相互通信が可能であったりしないよう、適切なネットワーク構成をとっているか確認すべきです。
- VxWorksのような一般的なユーザには認識されにくいRTOSのみならず、各種アプライアンスやいわゆるIoT機器に対しては、ファームウェアの更新等といった管理の目がクライアント・サーバPC程には行き届きにくいケースは往々にして有り得ますので、組織内で所有している全ての機器について、所在を把握し、ベンダーサポート等の情報収集を定期的に行い、ファームウェア等を常に最新のバージョンに保つことを心がけるようにしましょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし その28

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2019/img/thumbnail/img_36_s.jpg
- 7月29日(現地時間)、IoTセキュリティベンダーの米Armis社より、組み込み機器向けOSの「VxWorks」に未修正の脆弱性が存在すると発表されました。- VxWorksは、工場・エレベーター・産業機器や医療機器の制御システムから、ファイアウォール・ルータ・VoIP電話・プリンタ等のネットワーク機器まで、20億以上のデバイスに搭載されていると言われるRTOS(リアルタイムOS)です。-脆弱性はCVE-2019-12255~CVE-2019-12265の11個発見されたことから「URGENT/11」と呼ばれており、バージョン6.5以降のVxWorksでTCP/IP通信機能に存在するとされ、影響を受ける機器は2億個以上に及ぶとされています。- VxWorksの開発元であるWind River社では、Armis社と共同で問題に対応、6月には顧客に対し通知を行っており、既に修正パッチもリリースしているとのことです。
2019.09.04 16:09:37