IoT機器が脆弱と言われる4つの理由と利害関係者の対策

Jul 15, 2020
コンシューマのIoT

モノのインターネット(Internet of Things, IoT)、IoT機器は家庭や工場など様々な場面で活用されています。ところが、こういった場面で利益が生みだされる一方で、IoT機器はセキュリティの脆弱性という形で想定外の脅威をもたらす可能性があります。脆弱なIoT機器は家庭や企業におけるセキュリティ上の弱点となり、サイバー犯罪者にとってネットワーク経由で攻撃を仕掛けるための入口となってしまいます。

 

IoT機器が脆弱と言われる4つの理由

IoT 機器のリソースは限定的であり、脅威に対抗するために必要なセキュリティ機能をもっていないことも多いため、セキュリティ的には弱い存在とされています。技術的な側面以外に、ユーザ自身もIoT機器をより弱い存在にしてしまう原因を作ってしまうことがあります。IoT機器がセキュリティ上の弱点とされるいくつかの理由について以下に列挙します。

  • 限られた処理能力とハードウェアの限界
    IoT機器の多くは、限られた処理能力しか持っていないため、強固なセキュリティの仕組みとデータ保護を搭載するためのリソースがありません。
  • 不均一な伝送技術
    IoT機器は多くの場合、多様な伝送技術を用いています。このため、一般的なセキュリティの保護機能とIoT機器で使われるプロトコルの両立が困難になる可能性があります。
  • ソフトウェアが脆弱
    IoT機器もソフトウェアによって機能を実現しており、ソフトウェアが脆弱だった場合、そのソフトウェアそのものが脆弱性となります。特に多くのIoT機器で使われるような共通の基本ソフトウェアに脆弱性があった場合、Ripple20のように何百万個ものIoT機器に影響が及びます。
  • IoT機器に対するセキュリティ意識の不足
    IoT機器に対するユーザ側のセキュリティ意識はPCなどに比べるとまだ低いと言えます。IoT機器を不用意にインターネット上に露出させたり、脆弱性やデフォルトの認証情報を放置したまま使用したりする可能性があります。

IoT機器が持つ脆弱性はサイバー犯罪者により攻撃の足がかりとして利用されるため、設計段階からセキュリティの強度を注意することが重要となります。

 

IoT機器が持つ脆弱性がユーザに与える影響とは?

IoT機器を狙う攻撃の中でも重要ないくつかの事例を調べると、これらの攻撃がユーザに対してどんな影響を与えるのかが見えてきます。 攻撃者は、標的に到達するためにある端末から別の端末へ横展開を行いますが、その際に脆弱な機器が狙われ、利用されます。また、攻撃者は大規模なキャンペーンを目的として機器自体を狙って踏み台として利用したり、マルウェアをネットワークに拡散したりするために脆弱性を利用する可能性もあります。

IoTボットネットの事例は、IoT機器が持つ脆弱性による影響と、脆弱性を利用するにあたってサイバー犯罪者がどう進化してきたかを論証する一例となっています。2016年、最も有名なIoTボットの一つである「Mirai」は、様々な有名Webサイトに対して分散型サービス拒否(DDoS、Distributed Denial of Service)攻撃を仕掛けました。数千個もの侵害された家庭用IoT機器で構成されるこの攻撃により、対象サイトのサービスが停止し、Miraiの名は一躍有名になりました。

ビジネスの観点から見ると、IoT機器は、特にテレワークで使用する場合、企業と家庭が必要とするセキュリティ対策をさらに困難なものにします。家庭にIoT機器を導入すると、弱いセキュリティ環境に新たな弱点が開いてしまう可能性があります。このことは、従業員がマルウェアや企業のネットワークに侵入を試みる攻撃に晒されてしまうことに繋がります。BYOD(Bring Your Own Device)機器を使用してテレワークを行う場合、このことは重要な懸念事項となります。

また、攻撃者は、既存の問題が確認されているIoT機器を利用して内部ネットワークに侵入することも可能です。このような脅威は、内部ネットワークからの情報収集や情報漏えいを可能にするDNSリバインディング攻撃から、家庭や企業環境におけるスマート機器に対するレーザーポインタによる攻撃などのサイドチャネルを介した新しい攻撃手法まで、さまざまあります。

 

IoT機器の脆弱性の実事例

IoT機器が持つ脆弱性の影響を論証する事例は数多く存在します。そのうちのいくつかは、実際に攻撃に利用された例の他、IoT機器の研究として可能性が示されたものを含みます。ソフトウェアの改善を目的とする非営利財団「OWASP (Open Web Application Security Project)」は、毎年上位のIoT機器が持つ脆弱性の一覧を発表しています。ここでの一般的な欠陥の例は、以下の通りです。

  • 推測可能もしくはハードコードされたパスワード
    通常、マルウェアの新亜種はこの脆弱性を利用します。 例えば、トレンドマイクロではWebサーバ権限でコマンドインジェクションが可能になる脆弱性「CVE-2020-9054」を利用し、既定の認証情報を使用するブルートフォース攻撃を実行して「Zyxel NAS」製品にログインする「Mukashi」というMiraiの亜種を確認しました。
  • 安全でないエコシステムにおけるインターフェース
    トレンドマイクロが複雑なIoT環境に関して調査を実施した結果、複数の機器が持つ機能をチェーン化する、露出した自動化プラットフォームが明らかになりました。露出した自動化サーバには、自宅の位置情報やハードコードされたパスワードなどの重要な情報が含まれていました。侵害された自動化プラットフォームの影響についての詳細は、こちら(英語)から確認できます。
  • 安全でないネットワークサービス
    2017年にトレンドマイクロが実施した調査によれば、Sonosスマートスピーカーに関するセキュリティ事例が確認されました。この調査では、インターネット上で対象の機器のオープンポートが不特定多数に露出していたために、機密性の高いユーザ情報が晒されていたことが判明しました。

ユーザやネットワークに対するIoT機器の脆弱性の影響を示す事例は珍しいものではなく、今後もそのような事例が報告される可能性は高いと考えられます。ユーザは上述で紹介したような一般的な脆弱性に注意して、これらの脆弱性を狙う攻撃に対して必要な予防策を講じる必要があります。

 

被害に遭わないために:利害関係者の対策

IoT機器が持つ脆弱性と不十分なセキュリティ対策における予測不能かつ連鎖的な影響は、インターネット上の全体的なセキュリティに大きく影響を与えます。このため、利害関係者は、IoT機器の安全性を保証することに対して共通の責任を持っています。

製造業者は、後続の製品が持つ既知の脆弱性への対処、既製品のパッチの公開、そして旧製品のサポート終了の報告などを行う必要があります。 また、IoT機器の製造元は、設計段階からのセキュリティ強度の検討および侵入テストを実施して、生産中のシステムと機器に想定外の欠陥がないことを確認する必要があります。また、企業は、展開された製品に関して、外部エンティティからの脆弱性調査を受け入れるシステムを導入する必要があります。

また、ユーザは、IoT機器の接続に伴うセキュリティ上の脅威と、それらの機器を保護する役割に関して、理解を深める必要があります。 既定のパスワードの変更、ファームウェアの更新、安全な設定の選択などで、リスクを軽減することが可能です。またそもそもインターネットに直接接続する必要がないIoT機器は、ルータを介してインターネットに接続する設定にしてください。


This website uses cookies for website functionality, traffic analytics, personalization, social media functionality, and advertising. By continuing to browse, you agree to our use of cookies.
Continue
Learn moreprivacy policy