US Ban on TP-Link Routers More About Politics Than Exploitation Risk
2024/12/21 DarkReading — 米国での TP-Link 製品の販売禁止を、政府機関や議員たちが検討していると報じられている。そこから推測されるのは、いまの TP-Link はサイバー攻撃者に最も頻繁に悪用される脆弱性を持つ、ネットワーク・ベンダーのリストで上位にランクされているという状況である。しかし、それは事実ではない。この中国企業の製品は、消費者や中小企業に人気を博しており、CISA の KEV という既知の悪用脆弱性リストには、現時点で2件のセキュリティ問題が掲載されているに過ぎない。それに対して、Cisco は74件、Ivanti は 23件、D-Link は 20件という状況にある。
しかし、米国政府関係者の懸念は、TP-Link ルーターの既知の脆弱性ではなく、この製品が、米国市場の約 3分の2 のシェアを占めていることや、中国政府からの干渉といった未知のリスクの方にある。
TP-Link ルーターにおいて、バックドアやゼロデイ脆弱性を指摘する研究者は少ないが、政治的/経済的にライバルである中国の製品を制限することに不合理はないと、Extended IoT Security 企業 NetRise の CEO であり、US Department of Energy の元サイバー・セキュリティ責任者である Thomas Pace は言う。
彼は、「私にとって、禁止がもたらす価値は、純粋な技術的サイバー・セキュリティの価値というよりも、経済政策の価値に近い。 なんらかの理由により、これらの製品を購入すべきではないと言うこと、そして、中小企業などによるデバイスの入手を困難にすることに価値がある」と述べている。
TP-Link — 目立った脆弱性は無い
クラウド/アプリに関するセキュリティ企業 F5 の分析によると、2024年4月の時点において、TP-Link の2つの脆弱性のうちの1つが、脅威アクターによる脆弱性スキャンを最も多く引き付けたという。この問題は、TP-Link の Archer AX21 ルーターのコマンド・インジェクション脆弱性 CVE-2023-1389 であり、単純な POST リクエスト送信する未認証の攻撃者が、標的デバイスを容易に侵害できるというものだ。
CISA データ
別のインシデントとしては、セキュリティ会社 Check Point Software Technologies が、Camaro Dragon と呼ばれるインプラントに、TP-Link デバイスも 感染していることを発見している。Check Point Research の研究リーダーである Itay Cohen によると、同社が出荷したオリジナルのソフトウェアではなく、改変された TP-Link ファームウェア・イメージで、インプラントされたコンポーネントが発見されたとのことだ。
ただし、Cohen が強調するのは、そのインプラントはファームウェアに依存しない方法で作成されており、特定の製品やベンダーに固有のものではない点である。
彼は、「この種の攻撃は、機密ネットワークを狙うものではなく、一般的な住宅や家庭のネットワークを狙うものであることに注目すべきだ。つまり、家庭用ルーターに感染したからといって、必ずしも住宅所有者が特定のターゲットにされるわけではなく、攻撃者が目的を達成するための手段として、そのデバイスが必要だったことに過ぎない」と付け加えている。
現実に、この種の脆弱性やインプラントは脅威をもたらすが、KEV カタログのデータを見ると、他メーカーの脆弱性おいても悪用の可能性は高く、その攻撃範囲が大きく広がることに気づくだろう。組み込みデバイスの脆弱性は、特定のメーカーや生産国に特有のものではないという教訓があると、Phosphorus Cybersecurity の Chief Product Officer である Sonu Shankar は語る。
彼は、「国家に支援されるレベルの攻撃者は、世界中の企業のデバイスの弱点を頻繁に悪用しており、その中には、米国のメーカーが販売するもの含まれる。つまり、基本的なセキュリティ対策が欠如しているデバイスは、具体的に言うと、強力なパスワード/ファームウェアへのタイムリーなパッチ適用/適切なコンフィグなどが欠如しているデバイスは、サイバー攻撃の格好の標的になりかねない」と述べている。
Phosphorus の広報担当者は、「数多くの電子機器コンシューマ・ブランドがハッカーの標的となっているため、すべてのメーカーに対して同じ基準を課す、政府の取り組みを支持している。当社のセキュリティ対策が、業界のセキュリティ基準に完全に準拠していることを実証し、また、米国の市場/消費者/国家安全保障に対するリスクに取り組む、当社の継続的な姿勢を実証するために、連邦政府と連携する機会を歓迎する」と付け加えている。
中国政府の監視は広範囲に及んでいる
しかし、こうした主張には、同社の事業に対して中国政府が及ぼす影響を軽視している可能性がある。大半の欧米企業は、中国政府の政策や戦略の一環として、中国の当局が、ビジネス部門やサイバー・セキュリティ企業を監視している状況を理解していないと、NetRise の Pace は語る。
彼は、「そこにあるのは、まったく異質なビジネス文化だ。どの企業にも、中国人メンバーがいるだろう。いまから言うことは意見ではなく、単なる現実だ。そこにいる彼らが、影響力を行使しないと考えるなら、あなたは信じられないほど世間知らずだ。なぜなら、彼らは、情報収集の目的も含めて、まさに、それを行っているからだ」と指摘する。
いま、脅威情報アナリストたちが警鐘を鳴らしているのは、Volt Typhoon や Salt Typhoon による攻撃などが、ライバル国のインフラを侵害する取り組みが拡大していることを示す、中国政府の国家戦略文書や証拠である。
Check Point は、「近年において、中国の脅威アクターたちは、エッジ・デバイスへの侵入に大きな関心を寄せており、回復力と匿名性の高めた C2 インフラの構築と、特定の標的ネットワークでの足場の取得を目指している。埋め込まれたコンポーネントが、ファームウェアに依存しない性質を持つことが判明している。それが示すのは、広範なデバイスとベンダーが危険にさらされる可能性である」と付け加えている。
米国政府が禁輸しようとしているのは、中国のネットワーク製品だけではない。国家安全保障上の懸念から、ロシア企業 Kaspersky の製品も禁止されている。
家庭用ルーターにおけるグローバル・サイバーの現実:購入者は注意が必要
企業と消費者はデューデリジェンスを行い、最新のセキュリティ・パッチによりデバイスを安全な状態に保ち、重要なハードウェアの製造元が隠し持つ、二次的な動機についても検討する必要がある、Phosphorus Cybersecurity の Shankar は述べている。
彼は、「IoT への攻撃の成功の大半は、静的であり変更されていないデフォルト・パスワードや、パッチ未適用のファームウェアなどが引き起こす、システムを無防備な状態に陥れる問題により達成されている。事業者や消費者にとって、重要なポイントは明らかである。基本的なセキュリティ対策を採用することが、日和見な攻撃と高度な攻撃に対する重要な防御策となる。正面玄関を開きっぱなしにしないでほしい」と述べている。
ネットワーク・デバイスの出所や、サプライ チェーン・セキュリティを心配している企業にとって、信頼できるサードパーティを見つけ出して、デバイスを管理してもらうことは合理的な選択肢である。しかし、実際には、大半のデバイスに対する監視が必要となるため、サードパーティは信頼すべきではないと、NetRise の Pace は言う。
彼は、「デバイスのセキュリティに関しては、狂った世界が存在している。Windows などとは異なり、対象となるデバイスについて何も知っていない。そして、実際に、何も知ることができないデバイスを受け入れている。ただし、ソフトウェアのリスクを軽減するための、エージェントやファイアウォールを、その前にインストールすることは可能だ」と述べている。
TP-Link のシェアが、米国の 3分の2 に達しているとは知りませんでした。その一方で、CISA KEV に登録されている脆弱性は僅か2件であり、とても低いレベルにあります。しかし、TP-Link に北京政府が強く干渉し、何かが仕掛けられると、とんでもないことになると、米国の一部の人々は懸念しているようです。その背景にあるのは、以下にリストアップする、Salt Typhoon による大規模な侵害です。よろしければ、ご参照ください。
2024/12/10:米上院:FCC が通信会社に義務付けるサイバー規則を推測する
2024/12/05:米 FCC の提案:Salt Typhoon と盗聴セキュリティの基準
2024/12/04:米国の通信キャリア8社が侵害された:Salt Typhoon
2024/12/03:中国 APT とテレコム・スパイ:広範な目的を持っている
2024/11/28:中国由来の Salt Typhoon:被害は T-Mobile にも?
2024/11/27:Salt Typhoon の武器庫:破壊力を維持し続ける秘密は?
2024/10/06:Salt Typhoon :Verizon/AT&T などに侵入
IoT OT Security News 
You must be logged in to post a comment.