エフセキュアは、バルコのワイヤレスプレゼンテーションシステム「ClickShare」に、悪用可能な複数の脆弱性を発見したことを、12月17日に発表した。
「ClickShare」は、さまざまなデバイスからコンテンツを投影するためのコラボレーションツールで、日本を含む世界中の企業に導入されている。
今回、エフセキュアによって発見された、複数の脆弱性のうち、10個には共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)が存在し、さまざまな問題によってシステムを介して共有される情報を傍受したり、システムを使用してユーザーのコンピューターにバックドアやその他のマルウェアをインストールしたり、情報やパスワードを盗み取ったりといった攻撃が実行できる。
一部の脆弱性を悪用するには、物理的なアクセスが必要だが、システムがデフォルト設定を使用している場合は、他の脆弱性のリモート実行が可能になる。また、社員や出入り業者などになりすまして物理的なアクセスを行うような熟練の攻撃者なら、迅速にエクスプロイトを実行してしまう可能性がある。
エフセキュアは、これらの脆弱性を10月9日にバルコへ通知し、情報の開示に向けて協力しており、ヨーロッパ現地時間の12月16日にはバルコのWebサイトにて更新版のファームウェアを公開することで、もっとも重大な脆弱性を緩和している。
ただし、発見された脆弱性の中には、物理的なメンテナンスが必要なハードウェアコンポーネントが関係しているため、これらが修正される見込みはほぼないと考えられる。
