2025年4月初旬、Akamai Security Intelligence and Response Team(SIRT)は、ハッカーがGeoVisionの製品寿命が終了した(EoL)IoTデバイスのセキュリティ脆弱性を積極的に悪用していることを発見した。攻撃者はこれらのデバイスをMiraiボットネットに組み込み、分散型サービス拒否(DDoS)攻撃を実行している。
この攻撃では、2つのオペレーティングシステムコマンドインジェクションの脆弱性(CVE-2024-6047およびCVE-2024-11120、CVSSスコア:9.8)が悪用されている。具体的には、GeoVision IoTデバイスの/DateSetting.cgiエンドポイントを標的にし、szSrvIpAddrパラメータにコマンドを注入する手法が使われている。
Akamaiの調査によると、このボットネットはLZRDと呼ばれるMiraiマルウェアのARMバージョンをダウンロードして実行するコマンドを注入していることが確認された。また、Hadoop YARNの脆弱性、CVE-2018-10561、および2024年12月に指摘されたDigiEverに影響するバグも悪用されている。
さらに、Arctic WolfとSANS Technology Instituteは、Samsung MagicINFO 9 Serverのパストラバーサルの脆弱性(CVE-2024-7399、CVSSスコア:8.8)も積極的に悪用されていると警告している。この脆弱性は、認証されていないユーザーが任意のファイルを書き込むことを可能にし、最終的にリモートコード実行につながる可能性がある。
この脆弱性はSamsungによって2024年8月に対処されたが、2025年4月30日に概念実証(PoC)がリリースされて以降、攻撃者によって武器化されている。
影響を受けるGeoVisionデバイスは新しいパッチを受け取る可能性が低いため、ユーザーには新しいモデルへのアップグレードが推奨されている。Samsung MagicINFOユーザーには、バージョン21.1050以降への更新が推奨されている。
from:Hackers Exploit Samsung MagicINFO, GeoVision IoT Flaws to Deploy Mirai Botnet
【編集部解説】
今回報告されたSamsung MagicINFOとGeoVision IoTデバイスの脆弱性を悪用した攻撃は、IoTセキュリティの重要性を改めて浮き彫りにしています。
特に注目すべきは、製品寿命が終了した(EoL)デバイスが標的になっている点です。GeoVisionのケースでは、パッチが提供されない古いデバイスが攻撃者にとって格好の標的となっています。これは「デジタルゴミ問題」とも呼ばれる現象で、サポートが終了した機器が適切に廃棄されずにネットワークに接続されたままになっているケースが少なくありません。
Samsung MagicINFOの脆弱性(CVE-2024-7399)については、パッチが2024年8月に提供されていたにもかかわらず、多くの組織が更新を怠っていたことが問題です。この脆弱性は特に深刻で、認証なしで任意のコードを実行できるため、攻撃者にとって非常に魅力的なターゲットとなっています。
Miraiボットネットは2016年に初めて発見されて以来、進化を続けています。今回のLZRDと呼ばれるバリアントも、その一例です。2025年1月には、Miraiベースのボットネットが史上最大のDDoS攻撃を引き起こしたという報告もあります。
デジタルサイネージ管理プラットフォームであるSamsung MagicINFOは、交通ハブ、小売店、レストラン、企業ロビー、医療機関、金融機関など、多くの公共スペースで使用されています。このような場所でのシステム障害は、単なる不便さを超えて、情報提供の遮断や混乱を引き起こす可能性があります。
GeoVisionのデバイスについては、台湾企業の製品で世界中に広く設置されています。セキュリティカメラやネットワークビデオレコーダー(NVR)が攻撃されると、監視システムの機能不全や、さらには映像データの漏洩といったリスクも考えられます。
このような攻撃の増加は、IoTデバイスのセキュリティ管理の難しさを示しています。特に、デジタルサイネージや監視カメラなどは「設置して忘れる」傾向があり、定期的なファームウェア更新が行われにくい環境にあります。
企業や組織は、IoTデバイスの包括的な管理とセキュリティポリシーの策定が急務です。また、製造元も製品のライフサイクル全体を通じたセキュリティサポートの提供を検討する必要があるでしょう。
今後、IoTデバイスの数はさらに増加することが予想されるため、このような脆弱性を悪用した攻撃も増加する可能性が高いと言えます。セキュリティ対策は「あとで」ではなく「今すぐ」取り組むべき課題なのです。
【用語解説】
MagicINFO:
Samsungが提供するデジタルサイネージ向けのコンテンツ管理ソリューション。デジタル看板やディスプレイの遠隔管理や、コンテンツの配信・スケジューリングが可能。
GeoVision:
台湾に本社を置く映像監視システムメーカー。世界のセキュリティ企業トップ40に入る企業で、監視カメラやIoTデバイスを提供している。
Miraiボットネット:
IoTデバイスに感染して乗っ取り、DDoS攻撃などに利用するマルウェア。2016年に初めて発見され、以降様々な亜種が登場している。
DDoS攻撃:
大量のアクセスを一斉に特定のサーバーに送りつけ、過負荷にすることでサービスを利用不能にする攻撃。ボットネットを使うことで大規模な攻撃が可能になる。
CVE:
Common Vulnerabilities and Exposuresの略。セキュリティ上の脆弱性に付与される識別番号。
EoL (End-of-Life):
製品の製造・サポート終了を意味する。EoL製品はセキュリティアップデートが提供されなくなるため、脆弱性が修正されず攻撃対象になりやすい。
【参考リンク】
Samsung MagicINFO(外部)
Samsungのデジタルサイネージ管理ソリューション。コンテンツ作成から配信、デバイス管理までをカバーする。
GeoVision(外部)
監視カメラやアクセスコントロールシステム、IoTデバイスなどを提供する台湾企業。
GeoVision日本法人(外部)
GeoVisionの日本法人。日本市場向けに製品・サービスを提供している。
【参考動画】
【編集部後記】
皆さんのオフィスや家庭にも、長らく更新していないIoTデバイスはありませんか?デジタルサイネージ、監視カメラ、スマートホーム機器など、一度設置すると「動いているから大丈夫」と放置しがちなデバイスが、実はサイバー攻撃の入口になっているかもしれません。今回の事例を機に、使用中のIoTデバイスのファームウェアバージョンを確認したり、サポート終了した機器の更新計画を立ててみてはいかがでしょうか。皆さんはどのようなIoTセキュリティ対策を実施していますか?
