Check Point Press Releases

メディア・アラート: チェック・ポイントの脆弱性調査チーム、膨大な数のインターネットやWi-Fi機器乗っ取りの可能性のある脆弱性を発見

2014年8月19日

ゲートウェイからエンドポイントまでの包括的セキュリティを提供するCheck Point® Software Technologies Ltd.(インターナショナル本社:イスラエル、会長兼CEO:ギル・シュエッド)は本日、CPE WAN管理プロトコル(CWMP/TR-069)の導入におけるセキュリティ上の問題を取り上げた調査結果を発表しました。CWMP/TR-069は、大手インターネット・サービス・プロバイダ(ISP)を始め、Wi-FiルータやVoIP電話などビジネス環境や一般家庭向けに至る膨大な数のネットワーク機器の制御にグロバールで使用されている一連の技術仕様です。

今回、チェック・ポイントのマルウェアおよび脆弱性調査チームの研究者らは、TR-069仕様のサーバ実装において多数のゼロデイ脆弱性を発見しました。これは一般家庭や企業に多大な被害をもたらす可能性のある深刻な欠陥です。この脆弱性が悪用されると、大規模なマルウェア感染、不正な大量監視およびプライバシー侵害、またはISPのインターネット・サービスの無効化を含むサービスの中断に至ります。さらには、多くの企業や一般ユーザに関する個人情報や財務データが盗み出されるおそれもあります。

詳細な分析の結果、セキュリティ対策が不十分で、リモートからの乗っ取りに対し脆弱なISPが大量に存在することが判明しました。チェック・ポイントは確認された脆弱性をすべて報告し、修正に向けた支援を提供しています。

調査結果の概要:
  • この脆弱性が発見に至らなかった場合、攻撃者によって世界中の数百万台ものインターネット端末が乗っ取られ、企業や一般ユーザの個人情報や財務データが盗み出されていた可能性があります。
  • 多くのTR-069の導入環境には深刻なセキュリティ上の弱点が存在します。チェック・ポイントでは、このプロトコルを利用しているISPや他のプロバイダに一刻も早くセキュリティ状況を評価するよう推奨しています。
  • チェック・ポイントのIPS(侵入防御) Software Bladeには、今回特定された脆弱性を狙った攻撃に対応する保護機能が自動配信されています。

チェック・ポイントは、2014年8月9日米国ラスベガスのRio Hotel & Casinoにて開催されたDEF CON® 22において、TR-069に関する調査結果を発表しました。「I Hunt TR-069 Admins: Pwning ISPs Like a Boss」と題したこのセッションは、チェック・ポイントの脆弱性調査チームを率いるシャハール・タル(Shahar Tal)が進行役を務めました。

チェック・ポイントの脆弱性調査チームのリーダーであるシャハール・タルは、「チェック・ポイントは、攻撃者に対して常に優位に立てるよう取り組むことを使命としています。TR-069の実装において明らかになったセキュリティ上の欠陥は、世界中のインターネット・サービス・プロバイダとその顧客に対する壊滅的な攻撃へと発展する可能性があります。当社のマルウェアおよび脆弱性調査チームは、インターネット全体を保護するべく、セキュリティ上の欠陥の特定と迅速な問題解決に取り組んでいます」と述べています。

チェック・ポイントのマルウェアおよび脆弱性調査チームは、世界中のインターネット・ユーザを保護するため、広く利用されているソフトウェアを対象に、定期的に脆弱性評価を実施しています。チェック・ポイントによるその他の詳細については、http://www.checkpoint.com/threatcloud-central/をご覧ください。

チェック・ポイントの最新情報:
Twitter : www.twitter.com/checkpointjapan
Facebook : https://www.facebook.com/checkpointsoftware
YouTube : http://www.youtube.com/user/CPGlobal

Check Point Software Technologies Ltd.について

チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにおけるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様のネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術であるSoftware Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100社およびGlobal 100企業の全社を含む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントのZoneAlarmソリューションは、世界中で何百万にも及ぶお客様のPCをハッカー、スパイウェア、および情報窃盗から未然に保護しています。

チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置いています。