FINDERS

FAXがまだまだ現役の日本企業は要注意!規格の脆弱性を突けば複合機経由で社内LANに侵入できることをDEF CONで発表
  • BUSINESS
  • 2018.08.29
  • Twitter
  • facebook
  • LINE
  • はてブ!

FAXがまだまだ現役の日本企業は要注意!規格の脆弱性を突けば複合機経由で社内LANに侵入できることをDEF CONで発表

Photo By Shutterstock
現在米国で使用されている投票機の脆弱性を検証する若者たち。LAS VEGAS - 2018

今年も8月4日から9日までの6日間、情報セキュリティ分野の一大イベント「DEF CON 26」と「Black Hat USA」が、米国のラスベガスで開催された。世界中から腕に覚えのあるハッカーやセキュリティ関係者が集まる両カンファレンスへの関心は年々高まってきており、今年は過去最多となる世界112カ国から1万2,000人が参加したという。

文:伊藤僑

11歳がオンライン投票システムの侵入・改ざんに成功

DEF CON といえば、最新のセキュリティ関連技術を破ろうという挑戦が毎年話題になるが、今年もIoTや自動運転車などが俎上に挙げられたようだ。

今回、注目を集めたのは、8~16歳の少年少女を対象とした、オンライン投票の危険性を訴えるためのハッキング・デモンストレーションだ。

39人が参加し、そのうちの35人が、わずか30分ほどでシステムへの侵入に成功。投票結果の改ざんに成功した者も十数人いたという。しかも、最も早く(わずか10分ほど)でシステムへの侵入に成功したのは11歳の少年だったというから驚かされる。

オンライン投票を導入するためには高度なセキュリティ対策が欠かせないことが、改めて浮き彫りになった。

現在、世界中で開発競争が繰り広げられている自動運転車への関心も相変わらず高いようだ。

今年は、ハッキング対策として暗号化が進む自動車の車載ネットワークに対して攻撃を行い、ステアリングやアクセルのコントロールを奪うことを競うコンテストも開催されている。

自動運転車への攻撃は乗員の命を脅かすものだけに、あらゆる攻撃の可能性を検証し、十分な備えへとつなげていってほしいものだ。

デジタル複合機経由で社内LANに侵入できる脆弱性

日本への影響が懸念されるテーマとしては、セキュリティ・ベンダーであるCheck Point Software TechnologiesのYaniv Balmas氏とEyal Itkin氏が行った「FAX通信規格T.30」に存在する脆弱性「Faxploit」に関する発表に注目が集まった。

「FAX通信規格T.30」に存在する脆弱性「Faxploit」の詳しい解説が記載されたCheck Point Software Technologiesのウェブページ

両氏によれば、FAXの通信規格は1980年代に標準化が行われてから変更されておらず、セキュリティ対策は一切行われていないという。世界的にみれば、「FAXはもはや過去のもの」という認識のため、これまで放置されてきたのかもしれない。

しかし、この発表の冒頭でも「日本では現在も9割以上の企業がFAXを利用しているらしい」と触れられているように、日本は未だにFAXの利用率が高い。この脆弱性を利用した攻撃が広まれば、深刻な被害を被る可能性がある。

FAX番号が分かれば複合機を乗っ取ってLANに侵入

T.30の脆弱性を利用した攻撃が恐ろしいのは、FAX番号さえ分かればデジタル複合機を乗っ取ることができてしまうことだ。しかも、この複合機を踏み台として社内ネットワークに侵入することまで可能になる。

T.30の脆弱性を突いた攻撃手法の概念図。Checkpoint Research「Faxpioit : Sending Fax Back to the Dark Ages」より。

ここにiframeタグ挿入

YouTubeで公開されている、実際にFAXを使った攻撃手法。

両氏によれば、この脆弱性はITU-Tが定めるFAXの通信規格の1つであるT.30に起因するもので、T.30のカラーFAXに対応する複合機であればメーカーを問わず影響を受ける恐れがあるという。

この脆弱性を突く攻撃への予防措置としては、ファイヤウォールなどで複合機とその他のネットワークを分離することなどが考えられる。LANに接続する必要がある複合機ではなく、FAX専用の単機能製品への交換を考えてもいいだろう。メーカー等から、脆弱性の修正パッチが提供された場合は、速やかに適用させることも大切だ。

ただ、根本的な対策として両氏が最も推奨するのは、「Stop Using Fax!」、つまり、Faxを使うのはもう止めることだ。


参考:Checkpoint Research「Faxpioit : Sending Fax Back to the Dark Ages

参考:ASCII.jp「FAX番号だけで複合機が乗っ取られる“Faxploit”脆弱性公表

次回の更新は9月5日です。

  • Twitter
  • facebook
  • LINE
  • はてブ!
  • 映画『人間失格』

SERIES

  • employer brand research 2019.〜いま最も働きたい企業 2019〜
  • FINDERSビジネス法律相談所
  • 松崎健夫の映画ビジネス考
  • 友清哲のローカル×クリエイティブ
  • 浮上せよとメディアは言う〜編集長コラム
  • デジハリ杉山学長のデジタル・ジャーニー