バルコ製ワイヤレスプレゼンシステムに脆弱性、エフセキュアが発表

先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、多くのユーザを持つワイヤレスプレゼンテーションシステムに、悪用可能な複数の脆弱性を発見したと発表しました。攻撃者はこの欠陥を使用して、プレゼンテーション中に情報を傍受および操作し、使用されているPCからパスワードなどの重要な情報を盗み、バックドアやその他のマルウェアをインストールすることができます。

ベルギーに本社を置くBarco社 (以下、バルコ) のClickShareワイヤレスプレゼンテーションシステムは、様々なデバイスからコンテンツを投影するためのコラボレーションツールです。同製品は日本を含む世界中で多くの企業に導入されており、リサーチ会社であるFutureSource Consultingの「グローバルワイヤレスプレゼンテーションソリューション2019」レポートによると、ワイヤレスプレゼンテーションシステム市場で29%のシェアを持つ製品です。* *出典: https://futuresource-consulting.com/reports/posts/2019/may/futuresource-wireless-presentation-solutions-market-report-worldwide-may-19/?locale=en

エフセキュアのコンサルティング部門であるF-Secure Consultingでハードウェアセキュリティを担当するシニアコンサルタントを務めるDmitry Janushkevich (ドミトリー・ヤヌシュケヴィッチ) は、ワイヤレスプレゼンテーションシステムの脆弱性について、次のように語っています。 「ワイヤレスプレゼンテーションシステムは実用的で使い勝手がよく、多くの企業ユーザに採用されています。しかし、シンプルな外見に反して内部は非常に複雑な構造を持っており、その複雑さがセキュリティ対策を難しくしているのです。人々は、多くのユーザを持つ製品を無条件に信頼する傾向があり、そのため、攻撃者にとって格好の標的となります。私たちのチームはそこに着目して調査をおこないました。」

Janushkevichのチームは数ヶ月間に渡りClickshareシステムを何度も調査し、悪用可能な複数の欠陥を発見しました。そのうち10個には共通脆弱性識別子 (CVE = Common Vulnerabilities and Exposures) があります。 さまざまな問題により、システムを介して共有される情報を傍受したり、システムを使用してユーザのコンピュータにバックドアやその他のマルウェアをインストールしたり、情報やパスワードを盗み取るなど、様々な攻撃が可能となっています。発見された脆弱性の一部を悪用するためには物理的なアクセスが必要ですが、システムがデフォルト設定を使用している場合は他の脆弱性をリモートで実行できます。さらに、Janushkevichによると、エクスプロイトの実行は、物理的なアクセスを持った熟練の攻撃者 (社員や出入りの業者になりすましていることが多い) によって迅速に行われ、デバイスを密かに侵害することができます。

Janushkevichは詳細について以下のように話しています。 「テストの主な目的は、システムにバックドアを仕掛け、プレゼンターを侵害し、提示されたとおりに情報を盗むことでした。境界線をクラックすることは困難でしたが、アクセスしてから複数の脆弱性を見つけることができました。システムについて詳しく調べると、それらの脆弱性を簡単に悪用することができました。攻撃者にとって、これはユーザ企業を危険にさらすための迅速かつ実用的な手法です。企業は、使用する製品/サービスの潜在リスクについて、もっと理解する必要があります。今回のケースは、スマートデバイスのセキュリティ保護の困難さを示しています。チップ、設計、そして組み込みソフトウェアのバグは、メーカーとユーザ両方に長期的な悪影響を及ぼし、製品に対する信頼を低下させる可能性があります。」

エフセキュアは2019年10月9日に調査結果をバルコに通知し、両社は情報の開示に向けて協力してきました。ヨーロッパ現地時間の12月16日、バルコはWebサイトで更新版のファームウェアを公開し、最も重大な脆弱性を緩和しました。ただし、発見された脆弱性の一部には物理的なメンテナンスが必要なハードウェアコンポーネントが関係しており、これらが修正されることはほとんどないと考えられます。

F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。

本プレスリリースページ http://jp.press.f-secure.com/2019/12/17/barco-jp/ Barco社製ワイヤレスプレゼンテーションシステムの脆弱性に関するアドバイザリー (英語) https://labs.f-secure.com/advisories/multiple-vulnerabilities-in-barco-clickshare F-Secure Labs: https://labs.f-secure.com/ F-Secure Consulting: https://www.f-secure.com/en/consulting

 

エフセキュアについて

エフセキュアほどサイバーセキュリティを熟知している企業は市場に存在しません。1988年の設立以来、エフセキュアは30年以上にわたりサイバーセキュリティの技術革新を牽引し、数千社の企業と数百万人のユーザーを守ってきました。エンドポイントの保護と脅威の検出・対応において他企業を圧倒する実績を持つエフセキュアは、巧妙なサイバー攻撃やデータ侵害からランサムウェアの感染の蔓延までを含む、あらゆる脅威から企業と個人ユーザーを保護します。エフセキュアの先進テクノロジーは、機械学習の力と世界的に有名なセキュリティラボのエキスパートの持つ専門知識を組み合わせた、『Live Security』と呼ばれる独特のアプローチに基づくものです。ヨーロッパにおいて、エフセキュアは他のどのセキュリティ関連企業よりも多くのサイバー犯罪捜査に携わっています。エフセキュア製品は全世界200社以上のブロードバンド/モバイル事業者と数千社にのぼるセールスパートナーを通じて販売されています。


エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。Twitter @FSECUREBLOG でも情報の配信をおこなっています。

f-secure.coom | twitter.com/fsecure | linkedin.com/f-secure

本件に関する報道関係者からのお問合せ先

秦 和哉 (Kazuya HATA)

PR Manager, Japan

+81 3 4578 7745
japan-pr@f-secure.com

プレス登録

F-Secureからのリリース配信をご希望の方は、こちらからご登録ください。

お客様の個人データは、当社の法人向けビジネス プライバシー ポリシーに従って処理されます。