知らないうちに外国にデータ送信……監視カメラやスマートウォッチに潜むリスク（3/3 ページ）

スマートウォッチや監視カメラの中には、本来IoT機器を簡単に接続するために作られたプロトコルを悪用し、一種の「隠しチャネル」を通じて、外国と何らかの通信を行っているものがある――。ハッキングカンファレンス「DEF CON 26」のセッションで、そんな指摘が出た。

[高橋睦美，ITmedia]

ごく当たり前の対策を継続的に

　残念ながら「IoT機器で利用されているプロトコルの多くは、基本的な認証や改ざんを検知する仕組みがない」とホスマー氏は述べました。また「IoT機器のベンダーに、なぜベストプラクティスを実践しないのかと尋ねると、主に2つの答えが返ってくる。1つは、機器が十分なCPUやメモリを搭載しておらず、パワーがないというもの。もう1つは、市場に提供するスピードやコスト、価格を考えると難しいというものだが、必ずしもその全てが正しいようには思えない」と話します。

　両氏はさらに、アクセス制御や境界型防御といった伝統的なセキュリティ対策とは異なる「Active Cyber Defense」という考えをIoT機器向けに提言しています。

　「アクティブ」といっても「やられたらやりかえす」という意味ではありません。むしろ、攻撃・侵害はあり得るという想定に立った、インシデントレスポンスも含めた極めて基本的なアプローチに見えます。

　ホスマー氏によると、Active Cyber Defenseの第一歩は資産のマッピング、洗い出しです。「どこにどのようなデバイスがあり、通常時にどんなサービスが動いているかを把握することが第一だ」（同氏）。こうして環境を理解した上で、日々見つかるさまざまな脆弱性がどんなインパクトをもたらすかを検討する一方で、脅威や攻撃手法を理解し、それが各資産にどういった影響を及ぼし得るかを考えるべきといいます。

　ごくごく当たり前の事柄に思えますが、この当たり前を「継続的」に実施していくことがActive Cyber Defenseにつながるとホスマー氏は説明しました。同氏はこのプロセスを支援するため、Raspberry Piを用いて、ネットワーク内に含まれるIoT機器を見つけ出すパッシブセンサーも作成してみたそうです。まずはこうしてベースラインを作ることによって、初めて異常に気付き、アラートを出せるというわけです。

　ラゴ氏は最後に「まず汝の敵を知れ」と呼び掛けました。

　そして、ITシステムにおいて「シャドーIT」のリスクが指摘されているのと同様、いやそれ以上に「シャドーIoT」のリスクも大きいと述べました。「業務用だったり、出入りの業者やパートナーが導入したりで、どんなところにも何がしかのIoTデバイスがあるはずだ。それらを分析し、どこと通信を行っているか把握すべきだ。実際に、どれだけ他国への通信が行われているかを目の当たりにしたら、きっと驚くことだろう」と警告し、モニタリングの重要性を強調しました。