知らないうちに外国にデータ送信……監視カメラやスマートウォッチに潜むリスク(3/3 ページ)
スマートウォッチや監視カメラの中には、本来IoT機器を簡単に接続するために作られたプロトコルを悪用し、一種の「隠しチャネル」を通じて、外国と何らかの通信を行っているものがある――。ハッキングカンファレンス「DEF CON 26」のセッションで、そんな指摘が出た。
ごく当たり前の対策を継続的に
残念ながら「IoT機器で利用されているプロトコルの多くは、基本的な認証や改ざんを検知する仕組みがない」とホスマー氏は述べました。また「IoT機器のベンダーに、なぜベストプラクティスを実践しないのかと尋ねると、主に2つの答えが返ってくる。1つは、機器が十分なCPUやメモリを搭載しておらず、パワーがないというもの。もう1つは、市場に提供するスピードやコスト、価格を考えると難しいというものだが、必ずしもその全てが正しいようには思えない」と話します。
両氏はさらに、アクセス制御や境界型防御といった伝統的なセキュリティ対策とは異なる「Active Cyber Defense」という考えをIoT機器向けに提言しています。
「アクティブ」といっても「やられたらやりかえす」という意味ではありません。むしろ、攻撃・侵害はあり得るという想定に立った、インシデントレスポンスも含めた極めて基本的なアプローチに見えます。
ホスマー氏によると、Active Cyber Defenseの第一歩は資産のマッピング、洗い出しです。「どこにどのようなデバイスがあり、通常時にどんなサービスが動いているかを把握することが第一だ」(同氏)。こうして環境を理解した上で、日々見つかるさまざまな脆弱性がどんなインパクトをもたらすかを検討する一方で、脅威や攻撃手法を理解し、それが各資産にどういった影響を及ぼし得るかを考えるべきといいます。
ごくごく当たり前の事柄に思えますが、この当たり前を「継続的」に実施していくことがActive Cyber Defenseにつながるとホスマー氏は説明しました。同氏はこのプロセスを支援するため、Raspberry Piを用いて、ネットワーク内に含まれるIoT機器を見つけ出すパッシブセンサーも作成してみたそうです。まずはこうしてベースラインを作ることによって、初めて異常に気付き、アラートを出せるというわけです。
ラゴ氏は最後に「まず汝の敵を知れ」と呼び掛けました。
そして、ITシステムにおいて「シャドーIT」のリスクが指摘されているのと同様、いやそれ以上に「シャドーIoT」のリスクも大きいと述べました。「業務用だったり、出入りの業者やパートナーが導入したりで、どんなところにも何がしかのIoTデバイスがあるはずだ。それらを分析し、どこと通信を行っているか把握すべきだ。実際に、どれだけ他国への通信が行われているかを目の当たりにしたら、きっと驚くことだろう」と警告し、モニタリングの重要性を強調しました。
関連記事
- 疑え、無線LAN接続 「暗号化されているから安全」は本当か
7月初旬、西日本豪雨で各地に被害が出る中、携帯電話各社が公衆無線LANのアクセスポイントを無償開放しました。しかし「通信内容の盗聴や偽のアクセスポイントを用いた情報の窃取が行われる恐れがある」と総務省が注意喚起しています。公衆無線LANを正しく使う方法は。 - 史上最悪規模のDDoS攻撃 「Mirai」まん延、なぜ?
インターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界で生かせないか――そんな対策のヒントを探る連載がスタート。 - つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケ
「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながる」――IoT機器が普及する一方、そんな“思い込み”を持っている人は少なくありません。不正アクセスの被害を軽減するには、適切なネットワークのアクセス制御が必要と分かっているのに徹底できない理由は。 - 「パンドラの箱が開いた」 IoT機器の脆弱性対策、残された希望は
「2016年のMiraiの登場によって『パンドラの箱』が開き、例を見ない規模の攻撃が登場した」――横浜国立大学の吉岡克成准教授はそう話します。DDoS攻撃を仕掛ける「踏み台」としてIoT機器が悪用されるケースが顕著ですが、その前はごく普通のPCが踏み台化されていました。そんな過去から考えられる対策は。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.