皆が知るべきIoT攻撃
IoTが組織や個人の日常生活にもたらした革新は、近年、急増しています。例えば、自動車会社の組み立てラインを歩くと、最小限の人間の監視、あるいは監視なしで、連続またはバッチの活動を実行するインテリジェントな技術が明らかになります。
英国に拠点を置くオンラインスーパーマーケットのスタートアップであるOcadoとAmazonは、主にIoTに基づいて大規模な食料品の仕分けと配達技術を開発しています。また、遠隔操作が可能な家庭用電化製品やデバイスもあります。良い例としては、監視カメラ、照明システム、自動ドライブウェイ、地元の天気予報を分析して芝生に水をまくスプリンクラーシステム、スマート電子レンジ、完全に同期されたアパートメントがあります。
IoT機能を備えたそのようなスマートデバイスは、最適な効率を発揮するためにアクティブなインターネット接続を必要とします。しかし、IoTデバイスをインターネットに接続することは、すべてのネットワークデバイスに共通の潜在的なセキュリティ脅威にさらすことになります。インターネットアクセスがもたらす接続の広大な機会は、ほぼ常にセキュリティの課題と並置されます。インターネットを悪用するためのリソース(ハードおよびソフトの両方)を探している人々がまだいます。ハッカーは、食器洗い機やサーモスタットのような無害なデバイスを使用して、それ以外では安全なネットワーク上の脆弱な抜け穴として利用することができます。
## IoTデバイスは脆弱ですか?
しかし、IoTデバイスは脆弱なのでしょうか、それともそれらに対するセキュリティ侵害の主張は、テクノロジー愛好家がIoTを採用することを思いとどまらせるための単なる陰謀論なのでしょうか?インターネット上のセキュリティ侵害の歴史は次のセクションで強調され、IoTデバイスが定期的に疑わしいとされる証拠が私たちの質問に答えます。
IoT攻撃の有名な例
IoT攻撃の事例はいくつかあります。これらはより明確なイメージを作るためのいくつかの例です:
1. Dynに対するMiraiの取り締まり
2016年後半に、ハッカーが著名なドメインネームサービスプロバイダーであるDynのコンピュータネットワークに侵入しました。当時、DynはTwitter、Netflix、Reddit、CNN、The Guardianなどの企業のDNSプロバイダーでした。DDoS攻撃は、ハッカーが約60万台のIoTデバイスや他のコンピュータを募集し、Miraiというマルウェアを使用して遠隔操作で実行しました。
<a href="https://www.theregister.com/2016/10/21/dyndnsddosexplained/” target=”blank” rel=”noreferrer noopener”>Miraiボットネット攻撃は、会社のネットワークリソースを圧倒することで、Dynを数時間にわたって麻痺させました。
2. ハイジャックされたSUV
この場合のハックは単なるシミュレーションに過ぎませんでしたが、懸念すべき価値のあるハックでした。2015年、研究者グループは、携帯電話ネットワークを介してJeep SUVのファームウェア更新の脆弱性を悪用しました。車両のデータバスにアクセスした後、研究者は車を減速させ、停止させ、道路から逸らすことができました。
3. 文字通りの心臓発作
医学の進歩により、心臓手術を受けたり、ペースメーカーや除細動器を埋め込まれたりした人々が、弱った心臓を補助することが可能になりました。米国食品医薬品局(FDA)は、心臓デバイスにハッカーの操作によって無効にされたり、誤動作を起こす可能性がある脆弱性を確認しました。FDAは、特定の病院で患者に使用されている心臓インプラントに関してこの発見を特に懸念しています。
カジノへのサーモアクセス
別の広く報告されたIoTの脆弱性のケースは、カジノの水槽に設置された温度計の形でセキュリティの抜け穴を見つけたハッカーのグループによって行われました。カジノのネットワークにアクセスした後、そのグループは施設の機密データをうまく手に入れました。
5. ビッグブラザーアクセス
ジョージ・オーウェルのビッグブラザーのように、いくつかのインターネット接続カメラは、正しい穴を掘る方法を知っているハッカーにアクセス可能です。CNNは、IoT検索エンジンであるShodanを使用して、これらのデバイスがどれほど脆弱であるかを証明することに成功しました。Shodanを使用して、民間のニュース会社は、おそらく自分たちの露出に気づかずに、世界中のランダムな人々のカメラからのライブフィードを放送しました。
IoTセキュリティの脆弱性の原因
IoT技術の登場はまだ全盛期にあり、その採用においていくつかの重要な問題に対処する必要があります。はい、IoTデバイスは有益である可能性がありますが、イノベーターは、セキュリティの脆弱性の日々増加する報告に対処する前に、デバイスの機能的安定性にさらに関心を持っています。
以下は、IoTデバイスで経験されるセキュリティ脅威が持続する原因となっている重要な要因のいくつかです。
1. ユーザーの無知や不注意を悪用してIoTデバイスを侵害する
PCのオペレーティングシステムに対するウイルスの攻撃や、公共Wi-Fiを使用している際のオンラインフットプリントの広がりを防ぐことに関しては、そのような技術の平均的なユーザーはかなり情報を持っています。しかし、IoTデバイスのような新しい技術に関しては、ユーザーは新しい冷蔵庫のGUIで天気予報をチェックすることには関心があっても、そのセキュリティについて心配することはあまりありません。「冷蔵庫にどんなリスクがあるだろうか?」は、平均的なユーザーの心に浮かぶ合理的な質問です。
IoT技術のユーザーの中には、デバイスのセキュリティが侵害された場合の影響をまったく理解していない人もいます。メールの受信箱に迷惑メールが来るのは問題ではありません。しかし、ランダムな調査によると、IoTデバイスのユーザーは、これらの容易に侵入可能な技術を保護する基本を理解していないことが明らかになります。一部のハッカーは、ソーシャルエンジニアリングを通じてユーザーが抜け穴を開けた後に、以前は安全だったIoTデバイスにのみアクセスします。
2. 大規模攻撃後のセキュリティ脆弱性
インターネットを揺るがす大規模なボットネット攻撃の後、技術メーカーは当然、セキュリティ中心のパッチでデバイスを更新すべきです。しかし、インターネット全体での攻撃の頻度がセキュリティ更新を疲れさせます。そして残念ながら、ハッカーの細心の努力は、毎回のエピソードの後に脆弱な抜け穴を残し、迅速に対処されない場合は繰り返し悪用されることがよくあります。
IoTデバイスを更新する際のもう一つの大きな課題は、そのようなパッチのほとんどが自動的にインストールされ、技術的な支援を必要としないことです。しばしば、IoTデバイスはドキュメントをクラウドにアップロードしてバックアップし、設定を再起動または再構成しようとする間に短時間のダウンタイムを経験します。そのような期間は、特にインターネット接続が暗号化されていない場合、ハッカーによって悪用される可能性があります。
3. メーカーのセキュリティ基準への非準拠によるデバイスの露出
前述の通り、メーカーは消費者の機能的ニーズを満たすことにより関心を持ち、魅力的で革新的なデバイスを次々と市場に投入していますが、それらに伴う潜在的なセキュリティの抜け穴を評価していません。この事実は、市場に新しいIoTデバイスが登場するたびに、ハッカーが悪用するための新しい抜け穴が生まれることを意味しています。
メーカーは依然として革新の筋肉を鍛えていますが、従うべきセキュリティ基準に関する合意はまだありません。IoTセキュリティに対してオープンアクセス技術が提供するような結集地を持つことで、それらに起因する増加する課題の多くを解消することができます。しかし残念ながら、メーカーはセキュリティが欠けているが機能が向上したデバイスで消費者を魅了し、最大の市場シェアを獲得しようとしています。
4. IoTデバイスの物理的脆弱性
ほとんどのIoTデバイスの機能は、設置後に人間の操作を必要としないことにあります。例えば、Ocadoの自動化された倉庫は、標準的なサッカー場約2つ分の物理的空間に相当し、主にIoT駆動のロボットとわずかな人間の従業員によって運営されています。しかし、リモート地点に設置されたIoTデバイスは、人間の監視がない場合、デバイスの利用可能なポートを使用してマルウェアをインストールすることで、誰でも簡単にハイジャックすることができます。例えば、CCTVカメラは簡単に改ざんされたり、さもなければセキュリティが確保されたネットワークへのアクセスポイントとして使用される可能性があります。
たとえば、Ocadoの食料品の仕分けロボットのうち1台に物理的にアクセスするだけで、共有ネットワークがある場合、世界中の同社のすべての倉庫のセキュリティが危険にさらされる可能性があります。
5. ボットネットへの勧誘の容易さ
セキュリティパッチを断続的に更新する必要性のため、IoTはハッカーにとって簡単に悪用されるデバイスになっています。ボットネット攻撃を開始する前に、ハッカーは複数の手段を通じて脆弱なデバイスにマルウェアをインストールし、ボットネット軍を構築します。その後、侵害されたデバイスは通常コントローラーサーバーであるハンドラーを受け取り、それを利用して特定のインターネットユーザーに対する調整されたDDoS攻撃を実行します。
また、機密システム上でのIoTデバイスの人気が高まることにより、ハッカーが電力網、暖房システム、交通制御などの重要施設を妨害する可能性が出てきます。
6. IoTデバイスのスパイウェアへの操作
あなたが出張中に、あなたの子供のベビーカメラにアクセスしたハッカーが映像を送信していると想像してみてください。そのような人物は、あなたの家族のプライバシーを守ることを条件に身代金を要求することで状況を悪用する可能性があります。技術的に能力のある国々の中央セキュリティ部門の技術チームは、他人を監視するためにIoTデバイスを利用する可能性が高いです。
## 結論 — スマートデバイスを使用する際の安全対策
IoTデバイスを取得する際には、ハッカーが悪用可能ないくつかの脆弱性があるため、セキュリティを大きな懸念事項とすべきです。IoTデバイスを取得することが急務となった場合、アクティブに使用する前に、デフォルトのユーザー名とパスワードを変更することを忘れないでください。メーカーのマニュアルを読んで、デバイスのファームウェアを更新する手順を理解してください。アップデートにより、メーカーのセキュリティチームが成功裏に塞いだ穴から生じる可能性のある脅威から安全を保つことができます。