IoTのセキュリティは脆弱?! 注意すべき7大脅威と対策

IC
ENGINEER

総務省の調査によると、2020年には世界のIoTデバイス総数が300億個を突破し、2016年時の2倍になると推計されています。Google、Apple、Microsoftなどの多くの世界的企業がIoT技術に巨額の投資をしており、IoT技術はテクノロジーの世界において次のトレンドだと広く考えられています。

しかし、IoTデバイスにはいくつかの取り組むべき課題が残っています。それはIoTのセキュリティについて。IoTのセキュリティはまだまだ脆弱な部分が多く、乗っ取り、情報漏えい、盗難、さらに家宅侵入のリスクまで背負っています。

今回はIoTのセキュリティ問題についてご紹介します。

IoTとインターネットの歴史

IoTはインターネットにおける急成長分野です。インターネットの他の分野は人間同士の情報交換がメインな中、IoTはデータの収集・発信・受信をIoTデバイス間で行うのがメインです。IoTは人と人を繋ぐ代わりに、スマートデバイス同士を繋ぐのです。

近年、IoTのセキュリティ問題に関する論議が高まっています。指摘されている多くの問題は、インターネットにおける他の分野でこれまで実際に発生したものです。Adobe Flashの脆弱性の件は記憶に新しいでしょう。ウェブの閲覧をより安全なものにするため、安全性の問題が発覚したFlashの技術は、本来のブラウザ機能に取って代わられています。

IoTのセキュリティにおける問題は、スマートホーム自動化デバイスとネットワークとの繋がりが驚くべき速さで拡大していることに関係しています。新たな技術が誕生する際には「産みの苦しみ」が伴うものですが、2019年時点で、IoTのそれは文字通り非常に苦しいものとなっています。

IoT

IoTに影響を与える2019年のセキュリティ脅威について取り上げる前に、ここで少しインターネットの歴史を振り返ってみましょう。

コンピューターは、米国防総省が導入した現在のインターネットの元祖であるARPANET(高等研究計画局ネットワーク)の開発時から相互に接続されていました。

ARPANETがインターネットになってから、カーネギーメロン大学コンピューターサイエンス学部の学生たちがコカ・コーラの自販機をインターネットに接続するのにそう長く時間はかかりませんでした。彼らはName/Fingerプロトコルをデーモンとして利用したのです。これは1980年代初頭の出来事です。

他のデバイスも後に続き、ミシガン州で浴槽がインターネットに接続されたり、ユーザーが自身のウェブカメラからブラウザを通して世界中のあらゆるものを見たりできるようになりました。初期のIoTはほぼ情報を返すだけのもので、決して「スマート」ではありませんでした。しかし、device to device(D2D)やmachine to machine(M2M)通信技術の開発に伴い、事態は変化していきます。

そして2019年の今日において、IoTに接続されているデバイスには、ルーター、プリンター、サーモスタット、冷蔵庫、ウェブカメラ、そしてAmazon AlexaやGoogle Assistantに代表されるAIアシスタントによる住宅自動化ハブなどがあります。さらにはスマートロックやスマートウォッチを始めとする、家に置く・持ち歩く・身に付けるといったさまざまな用途のスマートデバイス。自動車のナビゲーションや、高度な医療機器、ATMなど、IoTの応用の可能性は私たちの想像を超えていきます。

しかしIoTに接続されるデバイスが多くなると、同時にセキュリティへの影響範囲も拡大していくものです。

2019年のIoTにおけるセキュリティ7大脅威

以下では、2019年に最もよく見られるであろうIoTへの脅威を7つリストアップしました。ひとつずつ見ていきましょう。

1. 乗っ取られたデバイスによるスパムメール

サムスンのスマート冷蔵庫『Family Hub』などのスマート家電には、最新のタブレットと同様の計算能力と機能が搭載されています。裏を返せば、これらが乗っ取られたときにはEメールサーバーにもなり得るということです。

情報セキュリティ研究会社Proofpointが2014年に行った調査によると、所有者が気付かないうちにスマート冷蔵庫が何千通ものスパムEメールを送っていたことが明らかになりました。

2. 乗っ取られたデバイスがボットネットの一部に

上述のスマート冷蔵庫によるスパムEメールの脅威に似ていますが、IoTデバイスは気がつかないうちに悪意のあるボットネットの一部にされてしまう可能性があります。最悪のばあい、DDoS攻撃(分散型サービス拒否攻撃)に使われてしまう可能性も……。

ハッカーはベビーモニター、ストリーミングデバイス、ウェブカメラ、さらにはプリンターをもハッキングの標的にし、大規模なDDoS攻撃を仕掛け、ドメインネームシステムサーバーに大きな損害を与えます。

3. ShodanのIoT検索エンジン

2009年以降、検索エンジン『Shodan』が抱える多くのIoT固有のセキュリティ問題が明らかになりました。問題のいくつかはとくにオーストラリアで発生しています。

Shodanの開発者であるジョン・マザリーは数年前に自身のブログにて、BigPond(現Telstra Media)がIoT接続ツール・OpenSSHを利用したワイヤレスホームルーターなどのネットワーキングデバイスを、50,000以上のデバイスで同じキーを共有する標準ポートにおいてどのように構成したかを説明しました。

ルーターの遠隔管理方法を知っているハッカーであれば、共通のSSHキーを巧みに利用してホームネットワークに侵入し、保護されていないIoTデバイスを検索できてしまいます。Shodanは保護されていないデバイスに関する情報を提供してしまったのです。

4. 個人情報漏えい

高い技術を持ったハッカーは、IPアドレスが開示されている保護されていないIoTデバイスから相当の被害を与えられます。IPアドレスから住所を突き止めることも可能でしょう。

情報セキュリティ専門家は、仮想プライベートネットワーク(VPN)を使用したIoT接続の保護を推奨しています。ルーターにVPNをインストールすることで、ISPを経由したすべての情報の暗号化が可能となりますが、近い将来IoTデバイスにも同様の対策がとれるようになるでしょう。正しいVPNを使うことでスマートホームネットワーク全体を保護し、IPを非公開にできるのです。

5. 保護されていないデバイス

IoTの誕生以降、もっとも油断ならない脅威がこの点であり、デバイスメーカーにも一部責任があります。

IoTデバイスが販売店に出荷される際、多くのばあいデフォルトのユーザー名は「admin」、パスワードは「1234」となっています。メーカーが説明書や参考資料においてユーザーに強く訴えかけない限り、消費者が自らユーザー名やパスワードを変更して個人情報を守ることを期待するのは現実的でないでしょう。

6. 住居侵入

ここに挙げる脅威の中でも一番恐ろしいのが住居侵入です。

先述したように、保護されていないデバイスがIPアドレスを開示してしまうと、Shodan検索エンジンを通してハッカーに発見され、住所が特定され、その情報が違法ウェブサイト(突き詰めると実際に活動する犯罪集団につながる)に売られるなんて可能性も考えられます。

デバイスの証明書を保護し、VPNを使って接続することがIoTのセキュリティを守ることに必要不可欠なのです。

7. 自動車の遠隔ハイジャック

自動運転を行うスマートカーは「将来そんな車ができたらいいなぁ」というレベルから、ほぼ現実に近付いてきました。いま考える必要があるのは、スマートカーのハイジャックを防ぐ方法です。

もしも悪意のある人物が、あなたの乗っている自動車を遠隔でハイジャックしたらーーーその悲惨な結果は容易に想像がつくでしょう。スマートカーの導入において、自動車メーカー各社はその危険性に細心の注意を払っています

過去にはMicrosoftとフォード・モーターによりSyncインフォテイメントシステムが開発され、接続におけるいくつかの問題を提示しました。しかしこれはワイヤレスブロードバンドが広く普及する前のことで、現在に至るまで、開発者は適切な対策に講じてきました。

▲出典: Wikimedia Commons

最近では、セキュリティ研究者2名がクライスラーのJeep Cherokeeを遠隔からハッキングしワイヤレスで操作するという出来事が起きたため、同社は早急に問題のインフォテイメントシステムを修正しました。

誰でもできるIoTセキュリティ対策

現在は多くの企業がIoTセキュリティ対策を講じていますが、同時に問題も起きています。最近では、IoT分野における主要企業間の独占競争があり、彼らの競争が激しくなっている間に、中小企業がそれぞれ独自のプロトコルを作成しているという問題があります。

残念なことに、IoT技術の明確な基準はまだなく、規格が統一されるには時間がかかりそうです。このように規格が多様に存在するため、統一された大規模なセキュリティ対策がまだ取られていないのです。

そこで、IoTテクノロジーがより標準化されるまでにやっておくべき、3つのIoTセキュリティ対策をご紹介します。

対策1:パスワードの保護と最新バージョンへのアップデート

当たり前に感じるかもしれませんが、安全なパスワードを設定し、常にアップデートをしておくことは、IoTのセキュリティにおいてとても重要な(そして見過ごされがちな)ステップです。残念なことに、未だ多くのIoTデバイスはパスワード保護のされていない旧バージョンのシステムが搭載されています。多くのIoT機器がほとんどセットアップを必要とせず、コンセントに挿すだけで簡単に動かせてしまいます。

そのまま使用して問題のないデバイスもありますが、iPhoneに直接繋がっているようなIoT機器や、Alexaのようなスマートスピーカーは、初期設定のままでは危険なばあいが多いです。

可能であれば、全ての機器の初期ユーザー名とパスワードを変更し、2段階認証を設定しましょう。また、システムの自動アップデートが有効になっているかも確認してください。もし有効になっていないようであれば、製造会社からのファームウェアやソフトウェアのアップデートを定期的にチェックしましょう。

対策2:ネットワークの保護

個々のIoTデバイスにおけるセキュリティの次に重要なのが、それらを繋ぐネットワークのセキュリティです。ネットワークを守る方法はいくつかありますが、最も効果的なものは以下の3つです。

ⅰ)基本的なネットワークセキュリティプロトコル

基本的なネットワークセキュリティプロトコルを導入することは大いに重要です。モデムやルータには初期パスワードを使用せず、ルーターは必ず安全なWi-Fi規格を使いましょう。

また、IoT機器をサイロ化(ネットワークに外部からの侵入を許す入り口がない状態のこと)しておくために、ビジター用の別のネットワークを用意しておきましょう。

ⅱ)独立型のファイアウォール

「ファイアウォール」という言葉は多く使われていますが、説明されることはあまりありません。ファイアウォールとは簡単にいうと、大事な機密情報にハッカーからアクセスされないように設計された電気的な壁のことです。

ほとんどのばあい、コンピュータのオペレーティングシステム(OS)には、ある種のファイアウォールソフトウェアが付いていますが、それは同じネットワーク上にある別のIoT機器を保護してくれません。OSにあらかじめ付いているファイアウォールを使うことは何も対策しないよりは良いですが、実際のところ、ハッカーがOSのファイアウォールにたどり着いているということは、すでにコンピュータの中にハッカーが入ってきているといえます。

それを防ぐためにも、ルーターなどを通してネットワークの周りに独立型ファイアウォールを築いておきましょう。それにより、全てのインターネットトラフィックはその地点を通ることになり、IoT機器に影響を与える前にハッカーの攻撃を防ぐことができます。

ⅲ)バーチャルプライベートネットワーク(Virtual Private Network, VPN)

VPNサービスは、ネットワーク上の全データを暗号化します。暗号化は、通常通りウェブに接続しながら、送信データを外部から読み取りにくくし情報を守るのに役立ちます。

しかし、持っているすべてのIoT機器にそれぞれVPNを設定するのは難しいため、ルーター上にVPNクライアントソフトウェアを設定するのが良いでしょう。ひとつ残念なのは、多くのVPNサービスは月額または年額の使用料がかかるということです。また情報は外部のソースを通って伝わるので、インターネット接続が若干遅くなる可能性もあります。

対策3:使わなくなった機器の排除

多くの新しいIoT機器が誕生し、市場では古いIoT機器との入れ替えが定期的におこなわれています。それに伴い、あなたの家には使われずに放置されているIoT機器があるかもしれません。

しかし、古いIoT機器は古いセキュリティプロトコルやパスワードが使われている可能性があり、セキュリティがしっかりしているとはいえません。IoT接続された機器は、セキュリティが脆弱な可能性があるため、きちんと対策すべきです。セキュリティを守るために、使用していない古いIoT機器は完全にネットワークからの接続を断つ(また機器をファクトリーリセットする)のが良いでしょう。

まとめ

IoTセキュリティの基本は3つの簡単なステップに分けられます。

  1. デバイスを保護すること
  2. ネットワークを保護すること
  3. IoT接続の中に何があるのかを知ること

覚えておいて欲しいのは、デバイスに重要な個人情報などが含まれていなかったとしても、それらを経由してより重要なデータを危険にさらしている可能性があるということです。

また、IoT機器が古ければ古いほど、より大きなセキュリティリスクがあります。IoTは生活をより快適にするものですが、IoTのセキュリティはいつでも真剣に考えておくべきでしょう。

(原文:IoT For All – A Beginner’s Guide to Securing Your IoT Devices / The 7 Most Common IoT Security Threats in 2019 翻訳:Yui Shimizu, Yui Tamura

SHARE

  • 広告主募集
  • ライター・編集者募集
  • WorkshipSPACE
エンジニア副業案件
Workship