セキュリティ ニュース

スマートな「IoTデバイス」、セキュリティもスマートですか?

Michal Salát, 2017年10月15日

IoT デバイスはどの程度安全でしょうか? ハッキングされる恐れはありますか? アバスト脅威研究所がこの点を徹底的に考察します。

今日のデジタル世界において、私たちは 文字通りたくさんのIoT (モノのインターネット) デバイスに囲まれて生活をしています。玩具、家具、自動車や医療機器メーカーは、さまざまに「スマート」(賢い)な 機能を搭載することにより、製品の魅力を高めます。(ネットワーク接続機能付きの「スマートな」水筒を販売するメーカーさえあらわれました!) 残念ながら、このスマートなデバイスの発売競争の中で、ほとんど忘れ去られている重大な要素があります。それは、「セキュリティ」です。

IoT デバイスにセキュリティが欠けている理由

スマートデバイスのセキュリティに関する法規制がない現状で、メーカー各社はIoTデバイスがおこなうデータ通信に関してそれぞれ独自の基準を策定するほかはありません。しかしながら、例えば家電メーカーが「スマート トースター」を開発する際、ユーザーがモバイルデバイスをつかってトーストの焼き具合を微調整できる機能を作ることことに加え、それぞれのメーカーがスマート・トースターをハッカーから守る方法について考えなくてはならないのでしょうか!?

セキュリティの基本原則がおろそかにされ、保護対策の施されていない製品が、最新の「ネットワーク接続」デバイスを楽しみにしている一般消費者に届けれられる結果となる可能性があることは想像に難くありません。

IoT デバイスはどの程度ハッキング可能か?

しかるべき「セキュリティ」の施されていないIoTデバイスをハッキングすることは、悪意をもつハッカーにはとても簡単なことです。総当り攻撃でログイン認証情報を見つける方法から、ファームウェアやオペレーティングシステムのリバースエンジニアリングを行ってゼロデイ脆弱性を発見方法や、より高度なエクスプロイト技術まで、彼らにとっては既知のものであるさまざまな手法を用いてIoTデバイスのハッキングは可能です。

さらに、IoT デバイスをハッキングするために使用されるサービスやエクスプロイトダークネットで「売られて」います。サイバー犯罪者にとってダークネットへのアクセスはそれほど難しいことではありません。また、ハッカーたちは IoT デバイスが使用する新しい種類のネットワークや通信に侵入しようと絶えず試みています。

IoT デバイスをハッキングするのはどの程度困難か?

スマート デバイスをハッキングする最も簡単な方法は、総当たり攻撃でパスワードを見つけること、またはそのデバイスのデフォルトのログイン情報でデバイスへのアクセス権限を取得することです。ダークネットでレンタルできるボットネットを利用すると、「スクリプト キディ」と呼ばれる、自分の目的のために他人のマルウェア プログラムを用いるといったハッカーにとっては初歩的なテクニックを使い、一度に数千台のデバイスを簡単に感染させることができます。

さらに、下記する「残念な事実」を考慮に入れると、ハッキングはさらに容易になります。実は、多くのデバイス メーカーは製造する各種のデバイスにそれぞれ固有のパスワードを作るのではなく、同じデフォルトのログイン情報を全デバイスに使用することによってコスト削減を図っています。昨年発生した最も大きな IoT 脅威のひとつは Mirai ボットネットで、デフォルトのログイン情報を使用することによって大規模な DDoS (分散型サービス妨害) 攻撃を実行し、膨大な数のスマート デバイスを感染させたことでした。Miraiのソース コードは公開されたため、ほぼ誰でも自分自身のIoT ボットネットを実行したり、コードを書き換えたりできるようになったのです。その結果、数多くの Mirai亜種が現れることにもなりました。

IoT デバイスを感染させる他の方法もありますが、その手法はより複雑化し、多額の費用がかかるため、あまり一般的ではありません。例えば、ファームウェアやオペレーティング システムのリバースエンジニアリングを行うには高度な技術的知識が求められ、また時間もかかります。同様に、脆弱性を悪用するゼロデイ エクスプロイトには数千ドルの費用がかかります。

IoT デバイスのセキュリティを高めるために行うべきこと

IoT セキュリティを劇的に改善するために実行可能で効果的な方法のひとつは、スマートデバイスのログイン認証情報を簡単に変更できるオプションを消費者に提供することです。さらに望ましいのは、デバイスの設定を初めて行うときに固有の強力なパスワードを作成するよう、メーカーがユーザーに促すことを義務付けることです。もちろん、これはすべての場合に適用することはできませんが、デフォルトのログイン認証情報を変更することで脅威にさらされるデバイスの数が劇的に減り、スクリプトマニアの子どもたちやハッカー「志望者」、そして単純な検索ボットが IoT デバイスへのアクセス権限を入手しにくくなります。あるいは、IoT デバイスメーカーは各デバイスに固有でランダムのパスワードを割り当て、それを顧客だけが受け取れるようにすることも可能です。

また、脆弱性にパッチを適用する定期的なソフトウェア アップデートも、スマートデバイスをエクスプロイトから守る上で役立ちます。メーカーはさまざまなライブラリやオペレーティングシステムの古いバージョンを使用することが多く、これらのバージョンには深刻なエクスプロイトが多数存在するため、デバイスは攻撃に対して脆弱になります。ファームウェアのアップデートがまったく不可能なデバイスも市場に出回っているため、ハッカーに脆弱性を突かれた場合、デバイスとネットワークとの接続を恒久的に切断し、より安全なデバイスと交換すること以外に選択肢はなくなります。

スマートデバイスのセキュリティを確保することにより、ユーザーのプライバシーが守られ、DDoS 攻撃の防止に役立つばかりでなく、より深刻な問題の発生を防ぐこともできます。電球や交通センサーなどのデバイス 1 台をターゲットにすることにより、IoT ネットワーク全体を感染させることができる方法を示す概念実証攻撃が出現しています。概念実証攻撃は、脆弱なスマートデバイスが悪人の支配下となった場合に大規模な問題になり、膨大な損害がもたらされる可能性があることを示しています。ハッカーが交通信号をコントロールしたり、都市全体の電灯を消したりすることを想像してみてください。スマートデバイスメーカーは、セキュリティの専門家と協力して、自社のデバイスにセキュリティ層を必ず備える必要があります。また、製品の侵入テストを定期的に行う必要もあります。

結論は次のとおりです。新製品の発売競争にさらされ、少なくない数のメーカーがセキュリティへの配慮を犠牲にしています。スマートデバイスのセキュリティに関して、適切な保護策が講じられるまで、私たちはデバイスを購入する前に次のように自問する必要があります。

「このピカピカの新製品の価格は、性能と、潜在的リスクに見合うのだろうか?」