　スマートフォンの世界では、しばしばAndroidの「分裂」（互換性がない複数バージョンのOSがリリースされたこと）による開発の困難さが指摘されてきましたが、IoTを巡る状況はそれどころではありません。数えきれないほどのベンダーが多様なOSを採用し、さまざまなバージョンで機器を提供しています。それら全てを把握するのは難しい状況ですが、ラゴ氏らは「通信プロトコル」「通信経路」に着目して調査を行いました。

　こうした問題の一因となっているのが、「UPnP」（Universal Plug and Play）で使用される「SSDP」（Simple Service Discovery Protocol）や、動画配信用の「RTSP」（Real Time Streaming Protocol）といった、IoTデバイスで広く用いられているプロトコルです。

　SSDPは面倒な設定作業を行うことなくプラグ＆プレイで機器を接続し、簡単に利用できるようにするためのプロトコルですが、残念ながら「実質的には何のセキュリティもない」とホスマー氏は述べています。暗号化されていないクリアテキストで、カスタマイズ可能なフィールドを含む仕様であり、隠しチャネルを介して重要なデータを漏らしたり、外部からコントロールしたりできる余地があるからです。

　RTSPはビデオストリーミングのためのプロトコルですが、SSDP同様にクリアテキストでやりとりされます。「ネットワークトラフィックをキャプチャーして見てみると、フィールドの中に、パスワードなどさまざまなデータを隠してやりとりできている」とラゴ氏は指摘しました。また実際に市販されている監視カメラの中には、UDP（User Datagram Protocol）経由で中国のAibabaが所有者となっているIPアドレスと通信しているものを発見したといいます。これでは監視カメラというよりは「スパイカメラ」状態と表現できそうです。

IoTの世界ではさまざまなプロトコルが利用されるが、必ずしもセキュリティが万全なものとは限らない

　カメラやスマートフォンに限らず、プリンタなど幅広いデバイスがこうしたプロトコルを利用しています。透過的に、簡単に使える一方で、悪意ある攻撃者による通常のプロトコルに見せかけたステルス型コミュニケーションを許してしまっていることが課題だと両氏は指摘しました。クラウドサービス向けの正常な通信に偽造したバックチャネルにも注意が必要だそうです。

　両氏はこうしたプロトコルの問題に加え、攻撃者がIoTハブやドローンのような機器を物理的にターゲットの近くに置いたり、持って行ったりした上で、Virtual Wi-Fi機能を併用することで、情報を盗み見たり、漏えいさせたりする可能性も指摘しています。改ざんや悪意ある挙動が含まれていないか、サプライチェーン全体で安全性をいかに確保するかも、今後の重要な課題だとしました。

対策は？

前のページへ 1|2|3 次のページへ