多くの機器がHTTPS/SSHで脆弱状態

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は11月26日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#96100360｜組込み機器に固有でない X.509 証明書および SSH ホスト鍵を使用している問題」において、不適切なソフトウェアの利用による脆弱性状態について指摘した。影響が広範囲に及んでいる可能性があり注意が必要。

これは組み込み機器の多くで固有ではないX.509 証明書やSSHホスト鍵が用いられている現状を指摘したもので、結果的に多くの組み込み機器が中間者攻撃や通信内容の傍受といった攻撃を受ける可能性があることを示している。調査はSEC Consult のStefan Viehböck氏が実施したものと説明がある。

この問題は対象製品が多岐に及んでいるほか、現状での対処方法がほぼ不明である点に注意が必要。今後、それぞれのメーカーやベンダーがセキュリティ情報を公開するものと見られるため、そうした情報に注意するとともに、アップデートが提供された場合には迅速にアップデートを適用することが望まれる。一時的な問題回避方法として、対象となる製品へのアクセスを制限したり、X.509証明書やSSHホスト鍵が変更可能である場合には変更したりするなどの方法が紹介されている。