【世界一タメになるあの業界のぶっちゃけ話】(11) パソコン周辺機器のファームウェアって更新してる?

“セキュリティーの為の更新が行われるもの”と言ったら、貴方は何を連想するだろうか? パソコンのOS・『Adobe』製のソフトウェア・『Java』・スマートフォンあたりが直ぐに思いつく代表的なものだろう。特にパソコンやスマートフォンは、アップデートの実施によって新たな機能が追加されることもある。その為、更新を歓迎している人も多いかもしれない。しかし、Wi-Fiルーター・プリンター複合機・IP型監視カメラ・無線マウス&キーボード等には、アップデートをすることで新機能が提供されることが少ない上に、脆弱性が新たに発見されることもある。「ペットを24時間見守ることができる」と謳われたIPカメラに至っては、ファームウェアの更新で“外部から覗かれてしまう”という脆弱性が発見されたこともあった。読者の中には、このような問題を抱えたままで放置されている監視カメラの映像が覗き見できるまとめサイトを見かけたことのある人もいるだろう。昨年からDDoS攻撃用のツールも爆発的に利用され、社会問題化する等、事態は益々深刻さを増している。

①周辺機器のファームウェアは定期的に確認して自衛を図る
筆者は『ASUS』製のWi-Fiルーターを利用しているが、年に5回はファームウェアの更新を確認している。スマートフォンに管理アプリをインストールしておくと、最新ファームウェアが提供された際にスマートフォンへ通知が飛ぶようになっており、数回タップするだけでスマートフォンからルーター本体を更新することもできる。また、スマートフォンから管理画面にログインすると、自分の持つルーターが最新ファームウェアであるかどうかが、一目でわかるようにもなっている。だが、このような親切な機能が、全てのWi-Fiルーターに備わっている訳ではない。よって、自分が利用しているWi-FiルーターやIP型監視カメラに最新ファームウェアが提供されていないか、簡単に確認できる環境を構築しておくといい。

②無線キーボードとマウスは有線よりもセキュリティーシルクが高い
昨年、無線マウス&キーボードの脆弱性が多数発見され、対応の為のファームウェアが提供された。しかし、3年以上前のものに関しては、ファームウェアが提供されないことも多かった。有名な脆弱性は、キーボードから打鍵されたものが半径100m以内に送信されるというものだ。脆弱性が解決されていない機器は、廃棄処分するしかないだろう。筆者は、セキュリティーの観点から、数年前より有線キーボードとマウスを利用していたが、心配事が現実のものとなってしまった。

③IP電話機や無線LAN中継器にも脆弱性は発生する
先日、「社内の機器がウイルスに感染しているらしい」という報告を受け、筆者が脆弱性検査装置(VS)を持参して調査したところ、パソコンではなく、国内メーカー製のファイルサーバー(NAS)がウイルスに感染しており、社内ネットワークに膨大な量のパケットを送信していることが判明した。パソコンにはセキュリティー対策ソフトがあるものの、NASやIP電話機に防衛機能は無い。その為、こういったネットワーク接続機器は常にファームウェアを最新にする必要がある。また、この会社では社員のノートパソコンに有線LAN端子が無かった為、各デスクに小型ワイヤレスルーターが配置されていた。しかし、このワイヤレスルーター全てが脆弱性を抱えたままであった。そこで筆者は、社内にあった数十個のワイヤレスルーターを処分し、USB接続の有線LANアダプタを利用するよう指示した。

④たとえオフラインの工場であってもウイルスが蔓延する可能性がある
未だ多くの企業が、セキュリティーの観点からネットワークをインターネットに接続せず、イントラネットとして運用している。しかし、こうした施行をしているにも拘わらず、ウイルスに感染する事態が頻発している。原因を多い順に列挙すると、

●外部から持ち込んだパソコン経由での感染
●USBメモリからの感染
●古いバージョンのWindowsからの感染
●コスト削減の為に購入した中古パソコンからの感染

となる。オフラインでWindows Updateを適用するソリューションはあるものの、サポート切れのOS・アプリケーション・周辺機器等による脅威もある為、「インターネットに接続しないオフラインでの運用はとても危険だ」と断言できる。

⑤オフライン事業所もルーターのホワイトリスト運用を図ってセキュリティを高める
では、ネットワークはどのように運用すればいいのだろう? 答えは、“OS更新用”・“アプリケーションのアップデートサーバー”・“セキュリティー対策ソフトの制御ホストサーバー”・“周辺機器ベンダーのファームウェア提供サーバー”といった、グローバルIPアドレスにのみインターネット接続を許可すればいいのである。そうすることで、オフライン環境よりもセキュアな環境を構築できる。考え得る機器全てのファームウェアの更新を即時にできる環境を構築することが、最も重要だ。ファームウェアの更新をUSBメモリ等を介して人力で行うことは、とても危険であることをよく認識するべきだ。インターネット接続先のグローバルIPアドレスを限定することで、標的型攻撃すらも回避できるのである。


大森御飯(おおもり・ごはん) インターネット黎明期より、通信機器やセキュリティーに携わる。帰国子女で、セキュリティー関係者との国際的な交流を築いている。


キャプチャ  2017年5月号掲載




スポンサーサイト

テーマ : ITニュース
ジャンル : ニュース

轮廓

George Clooney

Author:George Clooney

最新文章
档案
分类
计数器
排名

FC2Blog Ranking

广告
搜索
RSS链接
链接
QR码
QR