SOLUTION
キーサイトが新しいIoTセキュリティ評価テストソフトウェアを提供
2021.10.28 5:26 pm
IoTデバイスの包括的かつ自動化されたサイバーセキュリティ検証が可能に
(※米国時間2021年10月13日にキーサイト・テクノロジーズ・インクが発表したニュースリリースを、キーサイト・テクノロジー株式会社が和訳・要約したものです。)
イノベーションを加速し、あらゆるものが安全につながる世界を実現する高度な設計と検証ソリューションを提供する、キーサイト・テクノロジーズ・インク(米国カリフォルニア州サンタローザ)は、IoTチップ/デバイスメーカー、およびIoTデバイスを導入している企業が、包括的で自動化されたサイバーセキュリティ評価を実施できる新しいIoT Security Assessmentソフトウェアソリューションを提供することを発表しました。
コネクテッドIoTデバイスの増加に伴い、サイバー犯罪者はサイバーセキュリティ上の脆弱性を利用して、マルウェア、ランサムウェア、データ流出などさまざまな攻撃を仕掛けることが可能になります。Statista社によると、世界のIoTコネクテッドデバイスの総数は、2021年の138億台から2025年には309億台に増加すると予測されています。
Forrester社でvice president兼research directorを務めるMerritt Maxim氏と研究者のElsa Pikulik氏は『the State of IoT Security Report 2021 (IoTセキュリティの現状レポート2021)』の中で、「IoTデバイスの脆弱性は、機密データの漏洩を助長し、産業機器の誤作動、医療機器の欠陥、ホームセキュリティシステムの侵害など、物理的な危険につながる可能性があるため、特に脅威である。2020年には、IoTデバイスが外部からの侵入の2番目に多い攻撃ベクトルとなっており、テクノロジー業界のリーダーたちはIoTの導入を妨げている最大の懸念事項としてセキュリティ問題を挙げている。」と記しています。
IoTセキュリティの脆弱性 - BrakToothの発見
最近、シンガポール工科デザイン大学(SUTD)の研究者らが、数十億台のエンドユーザー機器に影響を与える市販のBluetoothチップセットの中に「BrakTooth」と呼ばれる一連の脆弱性を発見しました。SUTDの研究は、キーサイトからの助成金を受けて行われました。SUTDが発表した結果は、キーサイトのIoT Security Assessmentソフトウェアの改良に活用されました。
BrakToothは、Bluetooth Classic Basic Rate/Enhanced Data Rate (BR/EDR)を使用する機器への基本的な攻撃ベクトルを捉えており、SUTDチームがテストしたもの以外のBluetoothチップセットにも影響を与える可能性があります。SUTDのassistant professorであるSudipta Chattopadhyay氏は、次のように述べています。
「BrakToothの影響を受けるチップセットの範囲を正確に把握することは困難です。私たちは、すべてのBluetooth製品メーカーに対し、特に自社製品に脆弱なチップセットが含まれている可能性がある場合には、適切なリスク評価を実施するよう助言しています。私たちの研究を惜しみなくサポートしてくれたキーサイトに感謝するとともに、経験豊富なキーサイトのセキュリティチームと共同研究する機会を得られたことを嬉しく思います。」
これらの脆弱性には、20件のCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)や、4件のCVE割り当て待ちが含まれており、システムオンチップ(SoC)基板に搭載されているBluetooth通信チップセットに存在しています。これらには、リモートコードの実行、クラッシュ、デッドロックなどのリスクがあります。SUTDチームは、影響を受けたベンダーに調査結果を責任を持って開示し、調査結果を再現する手段と脆弱性を修正する時間を提供しました。
キーサイトのセキュリティ研究開発チームシニアディレクターであるSteve McGregoryは次のように述べています。
「SUTDでのこのような研究活動は、インターネットに接続された世界(コネクテッドワールド)でのサイバーセキュリティを改善させるために不可欠です。善良な人々が改善しなければ、サイバー犯罪者は脆弱性を悪用して、悪質な目的を果たすことになります。研究への投資は必要かつ有益ですが、ソフトウェアやチップセットのメーカーは、厳格なセキュリティテストを使用して安全な製品を提供する責任があります。」
キーサイトのIoT Security Assessmentソフトウェア
キーサイトのIoT Security Assessmentソフトウェアは、20年以上にわたるネットワークセキュリティテストの経験を活かし、あらゆるネットワークテクノロジーのセキュリティ脆弱性を明らかにします。このソフトウェアは、既知および未知の脆弱性の大規模なマトリクスを迅速にカバーする包括的な自動テストを提供します。IoTセキュリティ評価には、Wi-Fi、Bluetooth、Bluetooth Low Energy(BLE)などの無線インタフェース用の新しいサイバーセキュリティ攻撃ツールとテクニックが含まれており、既知の脆弱性をテストし、新しい脆弱性を発見することもできます。
開発組織は、キーサイトのAPI駆動型ソリューションを、制御とレポートを行う単一のAPIを用いて、開発パイプラインに簡単に統合できます。 IoTデバイスを導入している組織は、エンドユーザーに提供する前に、あるいは新たな脆弱性が懸念される前に、このソフトウェアを活用してIoTデバイスを検証することができます。キーサイトのApplication and Threat Intelligence Research Center(ATIリサーチセンター)による継続的な研究成果をとおして、最新のプロトコルファジングや攻撃手法に関するアップデートを提供しています。
キーサイト・テクノロジー
www.keysight.co.jp