対処困難なDNSの脆弱性「Name:Wreck」が報告される、1億台のデバイスが影響するとの試算も

DNS(Domain Name System)は「IPアドレス(インターネット上の住所を表す番号)とドメイン名(別名:当サイトの場合は『penguin-newshr.info』)」を紐付ける仕事を行うものです。このため、DNSはインターネット上の通信において非常に重要な役割を持っています。セキュリティ会社のForescout Research LabsとJSOF Researchによると、記事作成時点でDNSには「Name:Wreck」と呼ばれる9つの脆弱性が発見されており、1億台のIoTデバイスが乗っ取られてしまう可能性があるとのことです。

「Name:Wreck」の脆弱性がハッカーなどに悪用された場合、標的となったデバイスを意図的に操作され、停止されたり、乗っ取られたりする可能性が指摘されています。この脆弱性は「FreeBSD」「Nucleus RTOS」「ThreadX」などのOSに搭載されているTCP/IPプロトコルスタックに問題があることがわかっており、悪用されたときに起こりうる事態について、セキュリティ企業のAlert Logicで脅威インテリジェンス製品部門の副長を務めるロイット・ドンカール氏は「Name:Wreck」を悪用したDDoS攻撃による被害が増加すると考えています。

ドンカール氏は「以前からIoTデバイスをDDoS攻撃に使用する方法が効果的であるとされてきました。特に昨今のIoTデバイスは機能が充実しており、通常のコンピュータとほぼ同じようなことができるようになったため、多様性のある攻撃が可能になります」と語り、機能の少ないIoTデバイスでも企業のネットワークシステムをダウンさせたり、侵入したりする攻撃に使用される可能性があるとしています。

今回の影響を受けるOSを多く使用していると組織は「政府機関」「医療機関」です。これらの機関では少なく見積もっても100億台の機器が使用されており、うち1%の機器だけが脆弱性に該当したとしても、1億台のデバイスが影響すると試算されています。

なお、記事作成時点で報告された脆弱性に対してセキュリティパッチが提供されていますが、「パッチ適用が困難な場合が多いこと」も問題の1つです。IoTデバイスは「故障もしくは耐用年数経過後に交換する」運用が行われることが多く、現在使用中の機器が古くなりすぎているという問題があります。機器が古くなりすぎると、サポート切れによるパッチが提供されていない、各デバイス向けにパッチが作成されるまでに時間がかかり、ハッキングの被害を受けるなどの様々な問題が起こり得るのです。

ただし、「Name:Wreck」の脆弱性を悪用する場合に必ず、標的デバイスが設置されているネットワークアクセスが必要となります。このため、社内ネットワーク上でIoTデバイスを使用している場合は「機密情報が存在するネットワーク」と「IoTデバイスが使用するネットワーク」を別セグメント(別のIPアドレス帯)とすることで、被害を最小化することが可能です。

また、DNSサーバーへの問い合わせ状況を監視したり、アクセス管理を強化したりすることでハッカーの侵入を遮断することが可能です。このため、IoTデバイスへのパッチ適用が困難な場合は周辺環境で抑え込む方法が有効であることが示されており、それぞれの組織で対応できる方法を選択するのが重要であるといえます。