MITRE、ハードウェアのセキュリティ欠陥リストを公開

MITRE ATT&CK

MITREは、ハードウェアにおける最も危険なセキュリティ欠陥のリストを共有しました。

この弱点は、ハードウェアのプログラミング、設計、アーキテクチャに見られ、悪用可能な脆弱性につながり、システムを攻撃にさらすことになります。

これは非営利団体であるMITREが、”ハードウェアの設計、製造、研究、セキュリティの各分野、および大学や政府機関 “の代表者で構成されるHardware CWE Special Interest Group (SIG)と協力して作成したものです。

このリストは、体系的な調査を行うための関連データがないため、コンテンツ知識の豊富な専門家による主観的な意見を活用した修正デルファイ法を用いて作成されました。

MITREの「2021 CWE Most Important Hardware Weaknesses」の主な目的は、Common Weakness Enumeration(CWE)を通じて、一般的なハードウェアの弱点に対する認識を高めることです。

https://cwe.mitre.org/documents/HW_CWE_SIG.pdf

また、製品開発のライフサイクルの早い段階で重大なミスをなくす方法をプログラマーや設計者に教えることで、ハードウェアのセキュリティ問題を元から防ぐことができます。

さらに、テストエンジニアやセキュリティアナリストは、このリストを使って、セキュリティテストや評価計画の準備をすることができます。

以下のリストは、CWEの96個のハードウェアに関するセキュリティ上の弱点のうち、最も問題となる10個の弱点を示したものです。

  • CWE-1189 システムオンチップ(SoC)における共有リソースの不適切な隔離
  • CWE-1191 不適切なアクセス制御によるオンチップのデバッグおよびテストインタフェース
  • CWE-1231 ロックビット変更の不適切な防止策
  • CWE-1233 ロックビットの保護が欠落しているセキュリティに敏感なハードウェア制御
  • CWE-1240 リスクのある実装の暗号化プリミティブの使用
  • CWE-1244 安全でないデバッグアクセスレベルまたは状態にさらされた内部資産
  • CWE-1256 ハードウェア機能に対するソフトウェアインタフェースの不適切な制限
  • CWE-1260 保護されたメモリ範囲間のオーバーラップの不適切な処理
  • CWE-1272 デバッグ/電源状態の遷移前の機密情報の不明確な処理
  • CWE-1274 ブートコードを含む揮発性メモリへの不適切なアクセス制御
  • CWE-1277 ファームウェアが更新できない
  • CWE-1300 物理的なサイドチャネルの不適切な保護

MITREは、「ハードウェアのユーザは、このリストを利用しサプライヤーに対してより安全なハードウェア製品を求めることができ、管理者やCIOは、このリストをハードウェアのセキュリティに対する取り組みの進捗状況を測る尺度として利用し、根本的な原因を排除することで幅広い種類の脆弱性を緩和するセキュリティツールや自動化プロセスを開発するために、どこにリソースを投入すべきかを確認することができます」とコメントしています。

https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html

MITREは7月にも、過去2年間にソフトウェアに発生した脆弱性のうち、最も一般的で危険なものトップ25を発表しました。

昨年の5月には、CISAとFBIも2016年から2019年にかけて最も悪用されたセキュリティ上の欠陥のトップ10を発表しています。

コメントを残す

メールアドレスが公開されることはありません。