企業ネットワーク上の組み込みデバイスは、侵入の足掛かりとなり得るため、ハッカーにとって格好のターゲットとなっています。
これらのシステムはさまざまな機能を提供し、その多くは機密データを扱ったり重要なシステムの制御を行ったりしています。一般的に、ネットワーク機器、プリンタ、ストレージアプライアンスなどの機器には、エンドポイントプロテクションがインストールされていないため、攻撃者が検知されずに潜伏するのに最適な場所となっています。
数年以上かけて、これらのシステム上で実行する HTTP ベースのアプリケーションに数十もの脆弱性を発見してきた私は、それらがもたらすリスクをネットワーク管理者がどのように最小化できるかについても考えてきました。
この記事では、組み込みデバイスの悪用の可能性を低減すると同時に、アクティブな攻撃者を検知するうえで大いに役立つ 5 つのヒントを紹介します。
1.インターネット閲覧時にネットワークデバイスにログインする際には、同じブラウザ環境を使用しないこと。
CSRFの防御機能が実装されているデバイスはまだ少なく、ログアウト時にセッショントークンが無効化されないことが多いようです。ブラウザのプロファイルを使い分けることで、環境の認証情報が共有されなくなり、アクセスを適切に分離させることができます。
2.不正な Web サイト経由で攻撃が行われる危険性があるため、可能な限り HTTP/HTTPSインターフェイスを無効化しておくこと。
未認証の HTTPリクエストによって悪用されるコード実行の脆弱性が多くのデバイスに存在することを発見しました。代わりに SSH を使用するのが理想的です。
3.デバイスへのアクセスを正当な理由があるケースのみに制限すること。
たとえば、ワイヤレスネットワーク上のすべての人に HTTPS 管理ポータルへのアクセスを許可する理由はありません。同様に、経理担当者が使用するワークステーションからソースコードや社内開発用ツールを格納する NAS へのアクセスを許可する理由もありません。
4.ネットワークデバイスへのすべての接続をログに記録して、異常なアクティビティについてはフラグを立てる。
異常なインバウンド接続にも注意を払うべきですが、普段とは異なるアウトバウンドアクティビティが発生している場合、デバイスの感染が大いに疑われるため、調査が必要です。
5.ファームウェアの再インストールを定期的に行い、デバイスの構成に異常がないことを確認する。
これにより、あなたの組み込みデバイスに、不正なものが組み込まれないようにします。常に最新のファームウェアをインストールしておくことは言うまでもありません。
上記のヒントは、多くの組み込みデバイスで得られる利便性を妨げるものだというご意見もあるでしょう。確かにその通りなのですが、皆さんご承知のように、安全な運用と利便性の追求はほぼ矛盾したものなのです。
完全にテクノロジの恩恵に預かれないのは残念なことですが、組込みシステムに安易な脆弱性が蔓延している以上は、安全策をとる必要があるのです。これらの脆弱性は、一般ユーザ向け製品とエンタープライズ向け製品の両方に存在し、今後も侵害の原因となり続けるでしょう。
2010 年代の組み込み製品のセキュリティの状況は、1990 年代におけるアプリケーション向けセキュリティの状況と多くの点で良く似ています。
エンタープライズクラスのハードウェアに最近見つかった脆弱性については、こちらをクリックしてください。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。
