【IoTのセキュリティ】VxWorks の脆弱性を狙った攻撃の一部始終

こんにちは。経理の小高です。

 

私どもの会社のホームページ（サーバー）では障害（正確には「障害の予兆」）をモニタリングして、予兆を検知すると私他の携帯に通知がしてくるようにしてあります。

お客様のホームページの障害を防止するためのオクトパスの基本機能のひとつ。

インターネットにさらされているサーバーには手当たり次第に不正なアクセスがあります。ひどいときにはそのアクセスのためにサーバーがダウンしてしまう（そして、それに気が付かない）といったことが起こってしまいます。

オクトパスではサーバーの負荷状況を（現在）10分間隔で監視して、過負荷のために障害になるかも、と思ったら警告メッセージを携帯に飛ばしてきます。（下は実際の画面）

現在15前後のAmazonのEC2インスタンスを運用していますが、数日前（4/12）からたくさん警告がくるなぁ、と思っていました。

大事（ダウンなど）には至らず、昨日（4/14）の朝の段階で攻撃件数をみると、直近１週間で3,347件の攻撃が検出されていました（オクトパスの画面）。

実は一昨日は1,700件程度と表示されていましたが、ダウンタイムが出るほどのトラフィックではないと思いましたので１日様子を見ることにしていました。

 

 

そして本日（4/15）、記録されている過去１ヶ月の攻撃件数を日別に集計してみると、4/12が1692件、4/13が1606件。そして、昨日（4/14）が5件！！。

とんでも無いことですね。

 

 

 

また、攻撃に使われたIPアドレスを同期間で日別に集計すると、4/12、4/13ともに90IPが記録されていました。当然ながら 4/11以前と比較しても突出して多いですが、昨日になると3IPに減っています。

これらのアドレスの所在をざっと調べたところヨーロッパ中心のようです。

Amazon Web Servicesは原則的に偽装パケットが来ないので、それを考えると多いです。

 

サーバーで公開しているポートは80と443のみ。

オクトパスは攻撃に使用されたアドレスはブラックリストとして自動的に登録して、そのリストを全てのサーバーが共有する仕組みになっています。

ですから、これらのアドレスはすでに私どもが管理する全てのサーバーへ一切接続できません。

不正アクセスが２日で止んだか、もしくは昨日までにブラックリスト化してIPアドレスで今回の不正アクセスを遮断できたかのいずれかです。過去に（不幸にも）管理しているウェブサイトがDDos攻撃にあったことがあるのですが、その際にも半日程度で攻撃が止んだので、２日で攻撃が止まるということはありえます。

 

 

さて、肝心の攻撃の内容ですが、IPS（侵入検知システム）が言うには、RTOSのVxWorksの脆弱性を狙った攻撃の模様（VxWorks TCP URG memory corruption attempt ）。

一年半前（2019/9）に脆弱性が見つかっているので、それに関わるものと思われます。

外部リンク：monoist IoTのセキュリテイ VxWorksの脆弱性「URGENT/11」が浮き彫りにしたTCP/IPスタックの“残念な実装”

 

RTOSはReal Time OSの略で組み込みシステム向けの基本ソフトのこと。昨今のIoTブームで目にすることが多くなった言葉です。

私自身が組み込みの開発をしないため詳しく説明できる立場ではないのですが、WikipediaがWind Work社のサイトをみると「いたるところに使われている基本ソフト」のようです。

「１年半前の脆弱性でしょ」と思いますが、１度脆弱性が有名になるとかなり長い間それに関する不正なアクセスが発生します。

 

最近ではすっかりIoTが定着してきましたし、2030年にむけて政策的にもEV開発が加速されてきました。EVの中枢にはやはり「組み込みのOS」がいます。

PCに比べてものすごい数のデバイスがネットワークに登録されるのですから（携帯よりもはるかにおおい！！）、それらを狙った攻撃のトラフィックもすごい量になる、ということを実感させてくれるインシデントでした。

 

まだ、しばらく状況を観測して後日談があれば報告したいと思います。

 

 

 

←「【お知らせ】イー・レンジャーかわら版（2021年４月号：Amazon.com : GAFAとは）を発行しました。」前の記事へ　 　次の記事へ「【お知らせ】イー・レンジャーかわら版（2021年５月号：マイクロソフト : GAFAM）を発行しました。」→