GSMA の「Enabling IoT Security」 (IoT セキュリティの実現) 会議において、アバストの Vince Steckler が IoT 脅威を紹介し、一般消費者を保護するためにデバイスの安全確保の重要性について語りました。
本日、モバイル・ワールド・コングレスで弊社の CEO、Vince Steckler がモノのインターネット (IoT) デバイスを標的とした最新の脅威、一般消費者が被っている影響、および業界がどのようにして協力し合い、それらのデバイスの安全を確保する必要があるかについて講演を行いました。
壇上にはルーター、ウェブカメラ、スマート コーヒーメーカー、そしてスマート ケトルが用意されていました。Vince は壇上でこれらのスマート デバイスに対してサイバー攻撃を実行し、デバイスがどれほど無防備であるかを示すデモンストレーションを行いました。
IoT の未来
Vince の講演は、ネットワーク接続された今日の私たちの世界についての説明で始まりました。私たちのほとんどはスマート ウォッチでの歩数の記録や、家の中の温度のコントロールなど、日常的な作業に IoT デバイスを使用していますが、これらはすべてよく考えた上で行っているわけではありません。より多くのスマート デバイスが家にあふれるようになり、今後数年のうちに家庭で使われるデバイスの数は指数関数的に増加することでしょう。
業界の統計では、この増加率がはっきりと予測されています。Juniper Research によると、IoT デバイスの台数が 2020 年までに 285% 増加すると考えられていますが、これはつまり、今から 3 年後にはネットワーク接続されたデバイスが世界中で 385 億台に増えることを意味します。続いて、Vince は次のような重要な質問を提示しました: IoT デバイスにとって、セキュリティは重要ですか?
ハッカーにとって IoT デバイスは容易に侵入できるターゲット
すべてではないにせよ、家庭にある多くのスマート デバイスはルーターに接続されています。弊社の Wi-Fi インスペクター機能を使用し、アバスト ユーザーのルーターの状態を調査したところ、アバスト ユーザーのほぼ 41% がソフトウェア脆弱性のあるルーター、ルーターを保護する弱い/デフォルトのパスワード、または公開されているネットワークを使用していました。Vince は、ルーターが脆弱である場合がどれほど多く、それによってルーターに接続している IoT デバイスも危険にさらされていることをこの数字が示していると指摘しました。
続いて、Vince は次のような質問を行いました: バルセロナはどの程度安全でしょうか? アバストではモバイル ワールド コングレスに先立ち、スペインとバルセロナにおいて IoT デバイスがどの程度安全か調べるために、Shodan.io を使用して調査を行いました。その結果、バルセロナには危険な IoT デバイスが 49 万 3,000 台あり、スペイン全国では合計 530 万台あることが明らかになりました。その内訳をみると、ハッキング可能なウェブカメラはスペインに 15 万台あり、バルセロナだけに限っても 2 万 2,000 台ありました。スペイン全体では、攻撃にさらされているスマート ケトルとコーヒーメーカーが 7 万 9,000 台検出されました。
これらのショッキングな統計データを提示した後で、Vince は弊社の脅威インテリジェンス研究者である Filip Chytry を壇上に招き、彼の手を借りて、これらの種類のネットワーク接続デバイスで安全対策が施されていないものを標的とする、現在拡散しつつある脅威のいくつかを聴衆に披露しました。
Filip は壇上でまず、昨年 Mirai ボットネットによって使用され、Twitter や Reddit などの人気サイトを機能不全に陥れたコードにウェブカメラを感染させました。次に、Filip はケトルを Mirai マルウェアに感染させ、マルウェアを使用してケトルでお湯を沸かし始めました。続いて、コーヒーメーカーを感染させて、ケトルと同様に、コーヒーを淹れ始めるようコーヒーメーカーに命令しました。
IoT 脅威が一般消費者に及ぼす影響
Vince は次に、これらの脅威が一般消費者に及ぼす影響の問題を取り上げ、実際に起こり得る最悪の事態について語りました。多くの消費者は、ルーターを設置した後、デフォルトのパスワードの変更や設定の調整を一度も行おうとしません。ウェブカメラやその他のネットワーク接続デバイスは組み込みのセキュリティなしで販売されますが、これらの IoT デバイスが脆弱だとしても、例えば、冷蔵庫のファームウェアのアップデートについて考える人が、私たちの中で何人いるでしょうか?
多くの人々は、ウェブカメラで撮影した画像をハッカーが共有することが悪質には見えるものの、何が問題なのかは分かりません。しかし、私たちはネットワークで結ばれた市民として、自分自身だけでなく他人も守るために、自分のデバイスの安全を確保する責任を全員が負っていることを考慮する必要があります。このことは、今後数年の間に何台のネットワーク接続デバイスが私たちの生活に取り入れられるか、およびユーザーに関する機密情報をますます多く保持するようになっているこれらのデバイスをハッカーが悪用した場合に被る恐れのある潜在的な被害を考慮すると、特に真実味を帯びてきます。
IoT セキュリティを迎え入れるために業界の力を結集
Vince は続いて将来における攻撃を予防するために業界が一致協力して IoT セキュリティに取り組む方法について 3 つのシンプルな手順を提案しました。
まず、私たちはネットワーク接続されたデバイスやセンサーに「設計段階で安全性を完備」させる取り組みを開始する必要があります。この現実的レベルを実践することにより、業界はゲートウェイの安全を確保し、検出率の改善を続けることができます。セキュリティを最優先することについて考えると、「あればよい」ものとみなすのではなく、必須の要素として重ね入れることを計画し、設計段階で取り入れて、最初から実装する必要があります。
第 2 に、業界全体のあらゆる関係者がさらに力を入れる必要があります。ほとんどの消費者は解決策が何かということどころか、問題があることにさえ気付いていません。ほぼすべての業界の製造業者はコストを削減し、利鞘を稼いで、市場に迅速に出荷するという圧力を受けていますが、セキュリティを組み込まなかった場合に生じる実際のコストを考慮する必要があります。
第 3 に、Vince は何を行うべきかを知ることを業界が消費者に期待できないのだと説明しました。テクノロジーが急速に進歩しているため、セキュリティは簡単に作られた場合でさえ複雑です。業界は、接続の安全を確保するためにユーザーが家庭と家族に対して、および広範囲にネットワーク接続されたコミュニティに対しても自分が負っている責任について自ら学ぶよう支援する方法を見つける必要があります。次に業界は、コントロールする力をユーザーに戻し、どのデバイスの安全をどのような方法で確保する必要があるかをユーザーが簡単に理解できるようにする必要があります。
IoT セキュリティの次の方向性は?
プレゼンテーションのまとめに、Vince はアバストを含む業界関係者が協力し合って以下の 3 つの事柄を実現することを提案しました。
- オープン スタンダードの開発 - 業界全体が従うことができる一般的なセキュリティ規則の枠組み。
- 業界全体での協力の枠組み
- 協定による説明責任 - ハードウェア分野かソフトウェア分野かにかかわらず、インターネットに接続するあらゆるものについてセキュリティ チェックを行うという誓約
Vince は最後に、この問題は時間の経過とともに複雑性が増すもので、単純な解決策はないが、深刻な問題が明らかになるまで放置しておくのではなく、IoT セキュリティに今すぐ焦点を当てることにより解決の可能性が生まれると結論付けました。