セキュリティとITの分野におけるデータおよび分析ソリューションの主要プロバイダ Rapid7, Inc.(NASDAQ:RPD)は、脆弱性の検証とセキュリティ評価のためのオープンソース侵入テスト・ソフトウェアである「Metasploit Framework」に、ハードウェアを直接接続して脆弱性テストを行うことができる新機能を発表しました。これにより、複数のツールの構築とサポートにリソースを割くことなく、エクスプロイトの開発とハードウェアのテストに専念することが可能になります。この新機能の追加によりMetasploitは、ハードウェアとソフトウェアの両方を直接テストできる業界初の汎用的な侵入テスト・ツールとなりました。
2020年までに、200億以上のIoT(Internet of Things、モノのインターネット)デバイスが生まれると見られています。そのエコ・システム全体のセキュリティをハードウェアとソフトウェアの両面で確保し、組織や消費者の安全を守ることができるかどうかは、包括的なテストの実行にかかっています。この発表は、ITチーム、セキュリティ・チームが効果的かつ安全にテクノロジーを設計、構築、実装し、さまざまな業界でイノベーションを支援していけるよう、これまでと変わりなくサポートしていくというRapid7の決意を表すものです。これに先駆けて、Rapid7は2016年11月に IoT戦略的コンサルティングおよびアセスメントサービスも開始しています。
Rapid7の運輸関連セキュリティ リサーチダイレクターであり、新機能の開発者のクレイグ・スミスは次のように述べています。
「車、冷蔵庫などその種類を問わず、インターネットに接続されたデバイスが登場するたび、ハードウェアとソフトウェアの境界はあいまいになっています。当社で『ハードウェア・ブリッジ』と呼んでいるこのツールによって、システムを超えて実際の物理的なモノを直接処理できるようになります。当社のミッションは、対象領域を問わず、セキュリティの専門家に対して、製品の安全性をテストし確認するために必要なリソースを提供する事です。」
Metasploit Framework は、もともとはイーサネット・ネットワークで通信していました。新機能の追加により、RAWワイヤレスで直接ハードウェアを操作して脆弱性をテストすることが可能になり、Metasploitは、従来のネットワークの制限を超えた初の汎用的な侵入テスト・ツールとなりました。これにより、セキュリティ・チームはIoTハードウェアおよびソフトウェア、産業用制御システム(ICS)、ソフトウェア・ラジオ(Software Defined Radio:SDR)の脆弱性をテストが可能になります。Metasploitユーザーは、以前ハードウェアをテストする際に必要だった、各製品向けカスタム・ツール作成のためのリソースが節約され、本来の製品のセキュリティ評価業務に集中できるようになります。
この「ハードウェア・ブリッジ」の初回リリース版では、自動車向けの機能に焦点を当てています。これに加え、年内に登場が見込まれているその他のハードウェアをカバーする拡張機能のほか、埋め込み型デバイス、産業用デバイス、ハードウェア・デバイスを対象とする各種モジュールのライブラリも付属します。初回サンプル・モジュールには、コントローラ・エリア・ネットワーク(CANバス)向けの機能が含まれ、将来的にはK-Lineなどのその他のバス・システム向けの機能も加わる予定です。Metasploitは現在、SCADA(産業用監視制御)システムや補助モジュールなどの産業用制御デバイス向けエクスプロイトを多数取り揃えています。8種類の産業用制御デバイスに対応したモジュールのほか、複数のサービス妨害(DoS)モジュールがあります。
この新機能により、脆弱性テストの合理化に加え、次のことが実現可能になります。
Metasploitは、侵入テスト担当者の生産性の向上、脆弱性の検証、フィッシング管理に役立ちます。ユーザーは、世界最大のエクスプロイト・データベースに基づいた、複雑な攻撃をシミュレーションする自動侵入テストによって、脆弱性を検出できます。その結果をベースに最も大きなセキュリティ・リスクに優先的に対応することで、効率的なセキュリティ対策を行えます。何十万人ものユーザーと協力者で構成されるMetasploitのオープンソース・コミュニティは、最新の攻撃方法や攻撃者の考え方について独自の情報を発信しています。Rapid7はユーザーのコミュニティと協力して常に新しいエクスプロイトを導入しており、現在は1,600個のエクスプロイトと3,300個のモジュールを所有しています。
Metasploit Frameworkへの参加:
https://github.com/rapid7/metasploit-framework/wiki/Contributing-to-Metasploit
Metasploitの無償評価版の入手:
https://rapid7.com/products/metasploit/download/
Rapid7について
Rapid7は、テクノロジーの専門家が明確な情報、指導力、自信に基づいてイノベーションを安全に進め、リスクに対応できるよう支援しています。システム全体の運用データを容易に収集できるようにすることで、ブラインド・スポットをなくし、昨今の高度なアプリケーションやサービスを安全に開発、運用、管理するために必要な情報を提供しています。当社のツールから得られる分析情報と知識体系によって、単なるデータが役立つ情報に変わります。テクノロジーの専門家は、攻撃や生産性の障害をすばやく予測、防止、検出、修正でき、安全にビジネスを前進させるために必要な知見を得ることができます。Rapid7は、Fortune 1000企業の38%を含む、110か国6,200以上の組織の信頼を獲得しています。
Rapid7の詳細と、脅威に関する情報については、www.rapid7.comをご覧ください。
※本プレスリリースは2017年2月2日に米国で発表された資料の抄訳を元に作成しています。
<本プレスリリースに関する報道関係者お問い合わせ先>
ラピッドセブン・ジャパン株式会社 Tel: 03-5404-3493