_Piotr_Adamowicz_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "ワイヤレスルーターと自宅オフィスでノートパソコンを使う男性")
出典:Piotr Adamowicz(Alamy Stock Photo経由)
解説
最近、D-Linkのカメラやビデオレコーダーが既知の悪用脆弱性カタログ(KEV)に追加されたことは、より広範で持続的な脅威を示しています。コンシューマーデバイスが、企業に対するリスクをますます高めているのです。ハイブリッドワーク時代において、自宅ネットワークは企業環境の延長として機能していますが、多くの場合、古くて安全性の低いデバイスに依存しており、適切なパッチやサポートライフサイクルがありません。こうした弱点は、外部から企業システムを侵害しようとする脅威アクターにとって、格好の攻撃対象となっています。
無関心の文化
コンシューマーデバイスのセキュリティは、著しく甘いことで知られています。多くのユーザーはデフォルトのパスワードを変更せず、ファームウェアのアップデートもほとんど行わず、デバイスがサポート終了となったことにも気付きません。ルーターやスマートデバイスは、サポート終了後も長期間使用され続けることが多く、脆弱性が放置されたまま静かに蓄積されていきます。パッチが提供されていても、更新作業は手動で分かりにくく、あるいはそもそも存在しない場合もあります。
こうしたメンテナンス不足により、何百万ものデバイスがパブリックインターネット上で無防備な状態にさらされています。さらに悪いことに、メーカーは明確なサポートロードマップを示さずにコンシューマー向け製品のサポートを終了することが多く、これらのデバイスは恒久的なリスク要因となります。メーカーは、ユーザーが新機能のために定期的に新モデルを購入することを期待しており、セキュリティは後回し、もしくはほとんど考慮されていません。
家庭から企業へのリスク
もし、家庭用デバイスが侵害された場合、通信の傍受やDNS設定の変更、他のシステムへの足掛かりとして利用される可能性があります。多くのスマートホームデバイスも同様に脆弱です。これらは古いプロトコルを使用し、セキュリティ標準が組み込まれておらず、仕事用のノートパソコンと同じネットワーク上で動作しています。
この共有ネットワークが、ますます大きな問題となっています。ハイブリッド勤務の従業員は、侵害された家庭用ルーターを通じて会社のノートパソコンを接続したり、感染したデバイスと帯域を共有する個人用システムで企業の認証情報を使用したりすることがあります。ハッキングされたスマートプラグやカメラは、直接ビジネスを標的にしないかもしれませんが、犯罪者が横移動してビジネス上重要なリソース(たとえば、ユーザーが自宅に持ち帰って仕事をする会社支給デバイス)に侵入するための攻撃経路を生み出します。
ボットネットエコシステムを助長する
安全性の低いコンシューマーデバイスは、ボットネット経済にも利用されています。攻撃者はこれらを使って大規模な分散型サービス妨害(DDoS)攻撃を仕掛けたり、フィッシングインフラをホストしたり、住宅用プロキシとして機能させたりします。中には販売時点ですでに感染しており、インターネットに接続した瞬間にボットネットに参加するものもあります。特に中古機器で顕著です。
こうしたボットネットは急速に拡大します。一般的なルーターモデルやスマートデバイスの1つの脆弱性が、何十万台もの機器で悪用される可能性があります。そこから攻撃者は家庭内ネットワークへの持続的なアクセスを得て、その範囲を利用して企業を標的にすることができます。
このような状況は、企業にとって間接的ながらも強力なリスクを生み出します。社内インフラを適切に管理している企業であっても、従業員が自宅で利用する安全性の低いコンシューマーデバイスによってリスクにさらされています。
ITの手が届かない問題
企業のセキュリティチームは、従業員の自宅にあるルーターやサーモスタット、スマートスピーカーなどに対して通常、権限を持ちません。パッチ適用や可視化、ネットワーク分割を強制することもできません。しかし、これらのデバイスが侵害された場合、そのリスクは企業が負うことになります。
攻撃対象領域には、もはや会社所有の資産だけでなく、リモートワーカー全員の管理されていない個人ネットワークも含まれるようになりました。これは、従来の境界型モデルでは対応できないほどの拡大です。
リスクの低減
この拡大する脅威に対処するために、企業は家庭内ネットワークのリスクを第一級の課題として扱う必要があります。具体的には以下のような対策が考えられます:
-
従業員に対し、サポートが終了したルーターの交換やアップデートを促す。理解が難しい場合も多いが、機種名や型番を伝えてもらえれば、少なくとも支援を申し出る。
-
ネットワーク分割やゲストネットワークの利用により、業務用デバイスと他のIoTトラフィックを分離する方法を案内する。これは従業員の技術力を超える場合も多く、効果はまちまちである。
-
侵害された家庭内インフラに関連する異常なパターンを検知できるエンドポイント検出ツールを導入する。
-
パッチ未適用のコンシューマーデバイスや安全性の低いスマートホーム環境のリスクについて、ユーザー教育を行う。
企業は、企業管理下で事前設定されたルーターを提供し、企業トラフィックを家庭内ネットワークから分離することも検討すべきです。特に機密性の高い業務には最善策ですが、脅威は一見リスクが低そうな役割にも及ぶ可能性があります。
まとめ
コンシューマーテクノロジーは、もともと企業のセキュリティを考慮して設計されていませんでしたが、今やビジネスの遂行に大きな役割を果たしています。あらゆるスマートデバイス、パッチ未適用のルーター、忘れ去られたIoT機器は、個人のリスクであるだけでなく、企業の侵害ポイントとなり得ます。
企業がこうした制御不能な要素を脅威モデルに組み込むまで、攻撃者はチェーンの最も弱い部分、つまり企業ファイアウォールから遠く離れた場所を突き続けるでしょう。