出典:Nils Ackermann(Alamy Stock Photoより)
過去5年間でモノのインターネット(IoT)の利用は産業界全体に拡大しており、今後もその傾向は続くと見られています。しかし、セキュリティも同様に進化しているのでしょうか?専門家によれば、その進歩は十分に速くはないとのことです。
組織は運用効率の向上やコスト削減のためにIoTデバイスやアプリケーションをますます活用していますが、この技術は本質的に安全とは言えません。あらゆるものがより接続されることで、インターネット上にさらされたデータが大量に存在することになります。さらに、多くのIoTデバイスは脆弱性の修正アップデートを簡単に受け取ることができず、アップデートが必要であることをユーザーに通知することすらできません。
メーカーは「admin admin」などの単純なデフォルトパスワードでデバイスを出荷しており、多くのユーザーはセキュリティ強化のためにリセットが必要であることを知りません。これは特に重要な問題であり、攻撃者はIoT分野でますます巧妙になっています。
「[IoT]デバイスのセキュリティに対する認識は、嘆かわしいほど低い」と、runZeroのセキュリティリサーチ担当副社長であるTod Beardsley氏はDark Readingに語っています。
攻撃と防御
2018年、カリフォルニア州は接続デバイスのセキュリティ向上を目的とした法案を提出し、メーカーによりユニークなデフォルトパスワードの使用を促しました。Beardsley氏は、この動きがIoTセキュリティの進歩を示したものの、それ以降の進展は限定的だと述べています。
技術業界でよくある課題の一つは、強化されたセキュリティとユーザー体験のバランスを取ることです。メーカーやサプライヤーは、セキュリティを厳しくするとデバイスの使い勝手が悪くなることを懸念しているとBeardsley氏は言います。
良いニュースとしては、IT分野での可視性が向上していることです。「私が[過去5年間で]気づいた変化は、すべて攻撃側やリサーチ側にあります」とBeardsley氏は説明します。「防御側はほとんど変わっていません。」
最近のDEF CONイベントに参加した際、Beardsley氏はIoTビレッジが大規模に成長していることに気づきました。現在では主要なビレッジの一つとなっており、人々がこの問題に関心を持っていることを示しています。
「ペネトレーションテストの対象としてIoTが含まれることや、研究テーマになることが一般的になりつつあります」と彼は言います。「人々はより多くを学んでいます。」
メーカーへの呼びかけ
問題に対する認識は高まっているかもしれませんが、メーカーが取れる追加の対策はまだあります。
IoTセキュリティの最先端はより効果的な実践により向上していますが、その進歩は市場に新たに参入する企業によって妨げられる可能性があると、I Am the Cavalryのサイバーセーフティ推進者であるBeau Woods氏は警告します。スタートアップから大手の資金力のある組織までがIoT分野に参入しており、新興企業が過去の問題から学んでいないことが懸念されています。
「IoTセキュリティが向上していると言い切るのは難しいですが、悪化しているとも言い切れません」とWoods氏は説明します。「IoTデバイスごとに企業数が増加しています。コードベースも増えています。接続性が高まることで、事故や攻撃者への露出も増加します。これらすべての傾向を考えると、現状維持や改善しているとは言い難いでしょう。」
それでもWoods氏は、過去5年間でIoTセキュリティの改善が進んできたことに希望を持っています。例えば、一部のメーカーはより効果的な実践を導入しましたが、そうでないメーカーも多く存在します。「外部からの強制力」がより良いセキュリティを求めない限り、問題は続くと彼は説明します。
「政策的な解決策がエコシステム全体の改善に役立つ可能性があります」と彼は言います。
メーカーは、システムを分離して、一部でセキュリティ問題が発生しても、重要または機密データを扱う運用領域に影響が及ばないようにすることもできます。多くのメーカーはそれを実施する意欲がありますが、そうしない競合他社の存在を目の当たりにしているとWoods氏は指摘します。
「[彼らは]、セキュリティが企業の購買判断になるかどうか確信が持てないため、そうしない競合に負けてしまうのではと恐れています」とWoods氏は述べています。
IoTリスクの変化
IoTセキュリティにとって大きな警鐘となったのは、2016年にNetflixやXなどの大手企業のインターネットサービスを混乱させたMiraiボットネットでした。過去5年間で、市場はMirai型ボットネットに対し新たな法規制で対応してきたと、Veracodeの共同創設者兼チーフセキュリティエバンジェリストのChris Wysopal氏は述べています。彼は、2024年に施行された英国の「製品セキュリティおよび通信インフラ法」のような例を挙げており、これはデフォルトパスワードの禁止や、アップデートサポート期間中の脆弱性開示を義務付けるものです。2024年12月のEUサイバーレジリエンス法と合わせて、2024年以降に発売される新しいデバイスは、目に見えるセキュリティ向上が期待できるとWysopal氏は付け加えています。
しかし、攻撃者は現在、脆弱なIoTデバイスをボットネット以外の用途にも利用しています。今では、ランサムウェアのエッジ侵入ポイントや、スパイ活動の足がかりとしても使われているとWysopal氏は警告し、中国の国家支援攻撃者が古いSOHOルーターを悪用した事例を挙げています。サポート終了後の問題は今後さらに悪化するとされており、旧型デバイスが流通し続けていることが背景にあります。
「IoTリスクは明らかに『デフォルトパスワードとボットネット』から、よりシステム的で影響の大きい障害へと移行しています」と彼は言います。「IoTの脆弱性は汎用コンピュータのものに似てきていますが、IoTデバイスは多くの場合『設置したら放置』であり、パッチ適用もはるかに困難なため、リスクはより高くなっています。」