第35回 いまIoTで”コンシューマー向け機器”が危ない理由:日本型セキュリティの現実と理想(3/3 ページ)
日本ネットワーク協会(JNSA)が、コンシューマー向け機器の脆弱性に警鐘を鳴らすために「コンシューマ向けIoTセキュリティガイド」を公開した。今回はコンシューマー向けIoTの状況から現在のIoTセキュリティの脅威がどこにあるかを解説する。
「野良IoT」機器がもたらす問題
適切に管理されている機器なら、インターネットからtelnetが使えることは通常ではあり得ない。使えるということは、誰にも管理されていない機器か、インターネット接続のための最低限の知識がない人が所有もしくは管理しているものといえるだろう。この連載でも何度か取り上げている「野良IoT」機器が、その被害者だということにつながる。
まるで本来は飼育されるはずの動物などが放置されて“野良○○”と言われる状況が、IoT機器にも起こっているわけだ。「野良IoT機器」は飼育されなくても強い生存本能で自活できる動物のように、セキュアな設定かどうかに関係なくそのままインターネットに接続され、動作し続ける。
そして、telnetを利用すれば、世界中の誰でも簡単に「野良IoT」機器を操れる。もちろん、23ポートが何の制限をされていなくてもID/パスワードは必要だが、“野良”化したIoT機器を手なずけるのは簡単だ。実は、工場から出荷された状態では、ごく単純な「1234」などの初期設定のままになっている機器が多いからだ。
本来なら実施されているはずの接続制限とすぐに想定できてしまう単純な(またはマニュアルなどで公表されている)ID/パスワードの2つがそろえば、IoT機器は攻撃者にとって都合の良いカモになってしまう。
もちろん、このようなIoT機器はユーザーに一定のシステムや機器制御の知識があれば、後から適切な設定をし直すことができる。しかし、それを全てのコンシューマーに要求するのは酷だ。コンシューマー向けIoT製品は、製品出荷の時点で、製造元によってそれらの設定が本来なされるべきだろう。
いまのIoTは、コンシューマー向け機器を中心に普及が進んでいる。しかし、その製品にセキュリティの点で適切な設定がなされていない。そして、ユーザーもその知識を持っていない。攻撃者はその状況を“絶好のカモ”として利用している――残念ながら、これが現状である。だからこそ、いま対策が必要なのは、脆弱な設定で放置されがちな“コンシューマー向けIoT機器”だ。
日本ネットワークセキュリティ協会(JNSA)は、この危機的な状況を世の中に認知してもらい、セキュリティ対策を促すために、IoTセキュリティWGが「コンシューマ向けIoTセキュリティガイド」を作成し、公開した。次回はこのガイドをもとに解説を進めよう。
武田一城(たけだ かずしろ) 株式会社日立ソリューションズ
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
- TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方
- 著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)
関連記事
- 第34回 IoTセキュリティが日本の国家戦略の要になる理由
IoTは現実世界の生活を大きく変革するものであり、日本は国家戦略の要として推進しようとしている。今回は、その国家戦略や団体の動きから、IoTの推進とセキュリティ全体の現状を紹介してみたい。 - 第33回 ハニーポットが示した「野良IoT」の脅威
IoTは世の中を大きく変える可能性を持っているが、そのセキュリティ対策は部品レベルで考えなければならない課題だ。今回はIoTの具体的な脅威の実情について、横浜国立大学の研究をもとに考察する。 - 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.