人々は自己啓発に熱中しがちです。数え切れないほどの書籍、講座、セミナーが、顧客がX個のステップを踏めば、あるいはY個のエクササイズを行えばZ個の人間になれると謳っています。しかし残念なことに、サイバー独立テストラボ(CITL)は今週、主要ベンダー18社が過去15年間、ファームウェアセキュリティの向上に同様の努力をしていないと報告しました。
CITLは改善の兆候をほとんど確認できなかった。同非営利団体の主任科学者サラ・ザトコ氏は、The Security Ledgerに対し、「自社製品の安全衛生対策に取り組んでいる企業が一致団結しているという証拠は見当たらない」と述べた。多くの企業は、解決した問題への意識が高まり、ネットワーク機器への攻撃件数が増加しているにもかかわらず、基本的なセキュリティ機能を導入できていないと報告されている。
ザトコ氏はThe Security Ledgerに対し、調査対象のネットワークファームウェアに欠けている機能のいくつか、つまりスタックガードやバッファオーバーフロー保護は「ソフトウェア界のシートベルトやエアバッグ」だと語った。これらの基本的な保護機能が欠けているため、本来であれば阻止すべき攻撃に対する防御力という点では、ファームウェアはオペレーティングシステムやウェブブラウザに比べて何年も遅れをとっているとザトコ氏は述べた。
CITLがすべてのドライバを綿密に調査しなければならなかったとしたら、これらの発見は決定的な証拠となるでしょう。CITLには表面的な評価を行うだけのリソースしかなかったことを考えると(12社以上のベンダーから提供される数千ものファームウェアイメージを調査するのは困難です)、事態はさらに悪化します。これらの問題は発見するのが難しくありませんでした。小規模な研究者チームがこのファームウェアのセキュリティを大規模に評価することで、検出できたのです。
CITLの報告書は、セキュリティ企業Eclypsiumが「Screwed Drivers」レポートを発表した直後に届きました。報告書によると、Intel、Nvidia、その他の大手テクノロジー企業が、証明機関によって署名され、Microsoftによって認証された深刻な脆弱性を抱えていたことが示されました。この一連の不具合により、Windows 10デバイスは、ユーザーが気付かないうちに、安全でないドライバーを自動的に信頼するようになりました。
研究者たちは絶えず脆弱性を公開し、攻撃者を阻止する方法を議論し、企業に顧客保護を促しています。CITLの調査結果とScrewed Driversレポートは、多くの企業がこうした努力に追いついていないことを示しています。もしかしたら、これは私たちが考えていた以上に、企業が自己啓発に熱心であることを意味するのかもしれません。空約束で済むのに、なぜ実際に変化を起こす必要があるのでしょうか?
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
