IoT技術が普及する一方で、これらの機器の抱えるセキュリティ上の問題に起因するインシデントが数多く報告されています。
IoT関連のセキュリティ事故は、個人情報などのデータの流出だけでなく、時には機器の誤作動などを引き起こし命に関わる深刻な被害をもたらす場合があります。
そのため、IoT機器・IoTシステムの開発、利用・導入を安全に進めるには、セキュリティ対策は欠かすことができません。
しかしながら、IoT機器の種類や利用環境が多様で、標準的なセキュリティガイドラインが確立しにくかったり、多くのデバイスはセキュリティ機能が弱い状態で出荷されているにもかかわらず、セキュリティ対策を行うには機器やシステムごとの特性を踏まえる必要があったりと、「セキュリティ対策をどのように進めればいいのかよく分からない」という方も多くいらっしゃるのではないでしょうか?
この記事では、IoTの基本情報、主なセキュリティ上のリスク、セキュリティ対策、IoT関連のセキュリティインシデント事例をご紹介していきます。
実践的セキュリティスクール「セキュ塾」で、IoT機器を実際に触ってセキュリティ学習ができる3日間の短期集中講座『IoTと車のハッキングハンズオンコース(11月25日~27日)』の受講生を募集しております。
IoTとは?
IoT(Internet of Things)は、直訳で「モノのインターネット」と訳される、あらゆる「モノ」がインターネットに接続する仕組みのことです。
普段、私たちが使っているデバイスや家電、機械などにインターネット接続機能が組み込まれ、それらがネットワークを通じてデータをやりとりをすることで、私たちの生活をさらに便利にしています。
IoT機器の一般的な用途
私たちの生活で身近な使用方法でいえば、IoT機能を備えたエアコンを出先からスマホで遠隔操作して、家に帰る前に部屋の中を快適な温度にしたり、IoT機能を搭載した家庭内の清掃を自動化・遠隔操作する『ルンバ』などが有名です。
産業現場での活用例でいえば、IoTセンサーで工場の機械の状態を監視し、異常があればすぐに通知が来るようにして、機械がトラブルを起こす前にメンテナンスすることを可能にし、突発的な停止を防ぐことで、生産ラインの停止や修理コストによる損失を防ぐのに使用されています。
その他の活用事例としては、土地の水分量や栄養状態などを自動で最適な状態に管理するスマート農業や、高齢者や持病持ちの方向けに、心拍数や血圧などを常時測定し異常があれば、医療機関や家族に通知するヘルスケア分野の活用などが有名です。
IoTセキュリティの重要性
IoT機器はインターネットに接続されているにもかかわらず、多くの場合でセキュリティ対策が十分ではない状態で利用されています。
そのため、サイバー攻撃者にとっては比較的容易に、機器の脆弱性を突くことが可能になっている現状です。
これらのデバイスがハッキングされると、個人情報の漏洩、サービスの停止、物理的な損害など重大な影響を引き起こす可能性があります。
さらに、IoT機器がサイバー攻撃の踏み台として利用されることで、広範囲に被害が拡大する場合も…。そのため、IoTの開発、利用・導入時にセキュリティ対策を行うことは非常に重要であるといえるでしょう。
医療機器や車などに導入されている場合、これらの機器が攻撃を受けると命に関わる事故が起きることも想定されます…
IoTの抱える主要なセキュリティリスクと対策方法
不十分な認証とデフォルトパスワードの使用
リスク: 多くのIoTデバイスは出荷時のデフォルトパスワードのまま利用されており、サイバー攻撃者が簡単に侵入できる状態のままです。そもそも、デバイス自体に認証機能がないものや、弱い認証手段しかないものもあります。
具体的なセキュリティ対策の方法
- デフォルトパスワード変更の強制: デフォルトパスワードを利用者が必ず変更するように促し、複雑なパスワードの設定を推奨する。
- 二要素認証の導入: デバイスやシステムにアクセスする際、パスワードだけでなく、別の要素(例:スマホへの認証コード、ワンタイムパスワードなど)を導入して認証を強化する。
- 認証方法の強化: バイオメトリクス(指紋や顔認証)などを採用し、デバイスごとに強固な認証方式を導入する。
デフォルトのパスワードは必ず変更するようにしましょう!
可能ならば認証方法を強化を検討したいですね
ソフトウェアやファームウェアの脆弱性
リスク: IoTデバイスは、脆弱なソフトウェアやファームウェアを持つ場合が多く、悪用されると不正アクセスやデータ漏洩の危険性があります。アップデートを提供しない製品もあり、攻撃のリスクが長期にわたる可能性も…。
具体的なセキュリティ対策の方法
- 定期的なアップデートとパッチ適用: デバイスメーカーから、定期的に提供されるセキュリティ更新プログラムを適用する。
- 自動更新機能の導入: セキュリティパッチの適用漏れを防ぐために、自動的に最新バージョンにアップデートされる機能を有効にする。
- サポート終了後の製品管理: メーカーはサポート終了を明確に通知し、ユーザーはサポート終了製品の利用を控えるようにする。
ファームウェアは通常、IoTデバイスやコンピュータのハードウェア内部に組み込まれており、機器が基本的な操作を正しく実行するために必要なソフトウェアのことです。ハードウェアに密接に結びついており、デバイスの動作を管理しています。
データの盗聴とプライバシー侵害
リスク: IoTデバイス間やデバイスとクラウド間の通信が暗号化されていないと、通信内容が盗聴されるリスクがあります。これにより機密データや個人情報が漏洩する可能性も高まります。
具体的なセキュリティ対策の方法
- アクセス権限の管理: 必要なデバイスだけがデータにアクセスできるよう、厳格にアクセス権限を設定する。
- 通信の暗号化: 通信データをすべて暗号化し、盗聴や改ざんを防ぐ。特にTLS/SSLなどの暗号化プロトコルを使用する。
- データの匿名化、マスキング: 必要以上の個人情報を収集しない、またはデータの一部を匿名化することで、万が一データが漏れてもプライバシーリスクを軽減する。
ITやセキュリティの分野では、暗号化されていない通信を悪意ある者が傍受することを「盗聴」と表現することがあります。
病院が患者のデータを研究に活用する際、個人が特定されないようにデータの匿名化を行う場合があります。
マルウェア感染とボットネット化
リスク: セキュリティが弱いIoTデバイスは、マルウェア感染によってボットネットに組み込まれることがあります。これにより、DDoS攻撃などのサイバー攻撃に加担させられるリスクが高まります。
具体的なセキュリティ対策の方法
- 侵入防止システム(IPS)の導入: デバイスやネットワークに異常な挙動があれば、自動でブロックするシステムを導入する。
- ネットワーク分離: IoTデバイスを他のシステムと分けたネットワークに接続し、感染した場合でも被害を最小限に抑えられようにする。
- マルウェア検知ソフトの活用: IoTデバイスやネットワークでのマルウェアを検知・除去するソフトウェアを利用する。
ボットネットは、多数のデバイスがマルウェアに感染して一斉に攻撃を行うためのネットワークのことです。攻撃者は、感染したデバイスを遠隔操作し、複数のIoTデバイスを組み合わせて「ボットネット」を形成します。
物理的な盗難や改ざん
リスク: 屋外や公共スペースに設置されているIoTデバイスは、物理的なアクセスや改ざんを受ける場合があります。これにより、内部データが盗まれたり、デバイスが不正操作される可能性があります。
具体的なセキュリティ対策の方法
- 物理的セキュリティの確保: デバイスを厳重に固定したり、施錠可能なケースに設置することで物理的な改ざんを防ぐ。
- 改ざん検知システム: デバイスの蓋や外装が開けられた場合に警報が鳴るようにし、改ざんの兆候をすぐに検出できるようにする。
- アクセス制限区域の設定: 重要なIoTデバイスは、許可された人しか入れない区域に設置する。
ATMのカードリーダー部分にスキミングデバイスを仕込んだり、スマートメーターの内部の配線や設定を操作し、電力使用量を少なく見せかけて電気料金の支払いを減らしたりと、物理的な改ざんも脅威として外すことはできません。
集中管理システムへの依存とその脆弱性
リスク: 多くのIoTデバイスは集中管理システムやクラウドに依存しており、ここが攻撃されるとすべてのデバイスが影響を受けます。クラウドのセキュリティに穴があると、デバイス全体が危険にさらされる可能性があります。
具体的なセキュリティ対策の方法
- 多層防御: クラウドや集中管理システムへのアクセスに多層のセキュリティ対策を施し、ファイアウォールやVPN、侵入検知システムを活用する。
- 分散管理とバックアップ: 特定の管理サーバーやクラウドに依存しないよう、分散管理を取り入れ、万が一に備えたバックアップシステムを構築する。
- アクセス制御の強化: 管理システムへのアクセスを厳格に制限し、認証や監視を強化する。
クラウド活用は利便性をもたらす反面、同時にセキュリティリスクも内包します。集中管理のリスクを理解し、定期的な見直しと多層的な防御を検討しましょう。
IoTのセキュリティガイドラインとは
IoTのセキュリティガイドラインは、これまでインターネットに接続されていなかったモノに通信機能を持たせることによるサイバー攻撃の増加を想定して、IoT 機器やシステム、サービス供給者と利用者を対象に、サイバー攻撃による新たなリスクへ適切なセキュリティ対策を検討するための考え方を、分野を特定せずまとめたものです。
インターネットに接続する以上、セキュリティリスクの問題は避けることができません…
IoTセキュリティガイドラインの5つの指針
このガイドラインでは、IoT機器の開発~ 提供までの流れを、「方針」、「分析」、「設計」、「構築・接続」、「運用・保守」の 5 つの段階に分け、段階ごとにセキュリティ対策の指針を定めており、各指針ごとに具体的な対策のポイントと解説、対策例をまとめています。
ここでは、IoTセキュリティガイドラインから5つのの部分をご紹介します。
| 大項目 | 指針 | 要点 |
|---|---|---|
| 方針 | IoT の性質を考慮した基本方針を定める | ・経営者が IoT セキュリティにコミットする ・内部不正やミスに備える |
| 分析 | IoT のリスクを認識する | ・守るべきものを特定する ・つながることによるリスクを想定する ・つながりで波及するリスクを想定する ・物理的なリスクを認識する ・過去の事例に学ぶ |
| 設計 | 守るべきものを守る設計を考える | ・個々でも全体でも守れる設計をする ・つながる相手に迷惑をかけない設計をする ・安全安心を実現する設計の整合性をとる ・不特定の相手とつなげられても安全安心を確保できる設計をする ・安全安心を実現する設計の検証、評価を行う |
| 構築・接続 | ネットワーク上での対策を考える | ・機器等がどのような状態かを把握し、記録する機能を設ける ・機能及び用途に応じて適切にネットワーク接続する ・初期設定に留意する ・認証機能を導入する |
| 運用・保守 | 安全安心な状態を維持し、情報発信・共有を行う | ・出荷、リリース後も安全安心な状態を維持する ・出荷、リリース後も IoTリスクを把握し、関係者に守ってもらいたいことを伝える ・つながることによるリスクを一般利用者に知ってもらう ・IoTシステム、サービスにおける関係者の役割を認識する ・脆弱な機器を把握し、適切に注意喚起を行う |
- 【方針】指針1:IoTの性質を考慮した基本方針を定める
要点1.経営者が IoT セキュリティにコミットする
要点2.内部不正やミスに備える
- 【分析】指針2:IoTのリスクを認識する
要点1.守るべきものを特定する
要点2.つながることによるリスクを想定する
要点3.つながりで波及するリスクを想定する
要点4.物理的なリスクを認識する
要点5.過去の事例に学ぶ
- 【設計】指針3:守るべきものを守る設計を考える
要点1.個々でも全体でも守れる設計をする
要点2.つながる相手に迷惑をかけない設計をする
要点3.安全安心を実現する設計の整合性をとる
要点4.不特定の相手とつなげられても安全安心を確保できる設計をする
要点5.安全安心を実現する設計の検証・評価を行う
- 【構築・接続】指針4:ネットワーク上での対策を考える
要点1. 機器等がどのような状態かを把握し、記録する機能を設ける
要点2. 機能及び用途に応じて適切にネットワーク接続する
要点3. 初期設定に留意する
要点4. 認証機能を導入する
- 【運用・保守】指針5:安全安心な状態を維持し、情報発信・共有を行う
要点1. 出荷・リリース後も安全安心な状態を維持する
要点2. 出荷・リリース後もIoTリスクを把握し、関係者に守ってもらいたいことを伝える
要点3. つながることによるリスクを一般利用者に知ってもらう
要点4. IoT システム・サービスにおける関係者の役割を認識する
要点5. 脆弱な機器を把握し、適切に注意喚起を行う
対策例や解説など詳細を確認したい方は、『IoTセキュリティガイドラインの資料』をご覧下さい
IoTセキュリティインシデントの事例紹介
利便性に優れる反面、IoTデバイスには思わぬセキュリティリスクが潜んでいるもの。
ここでは、実際に発生したセキュリティインシデントを簡単にご紹介していきます。
Miraiボットネット攻撃
2016年、Miraiというマルウェアが大規模なDDoS攻撃に使用され、その存在が広く認識されるようになりました。
このマルウェアは、多数のIoTデバイス(監視カメラ、ルーター、スマート家電など)を感染させ、ボットネットを形成します。
このボットネットは、アメリカの大手DNSプロバイダー「Dyn」を含むDNSプロバイダーに対してDDoS攻撃を行い、大規模なサービス障害を引き起こしたとされています。
この事件は、デフォルトパスワードのまま利用されているなどの、セキュリティ対策が不十分なIoTデバイスが原因とされており、これにより爆発的に感染拡大したとされています。
この攻撃による被害として、「Twitter」、「GitHub」、「PayPal」など、多くの有名サービスが一時的に利用できなくなる被害が発生しました。
IoT機器でも数十万という数になれば、強力なDDoS攻撃が可能なんですね‼
カジノに設置されているスマート水槽からのデータ漏洩
北米のカジノで、ロビーに設置されたIoT対応のスマート水槽にセキュリティ脆弱性があり、攻撃者がこのデバイスを経由して内部ネットワークに侵入、カジノのデータ(どのようなデータだったかは不明)が外部に流出するという事件が発生しました。
このスマート水槽は、インターネットに接続されており、自動的に魚に餌を与え、水温の自動調整などを行うなど、魚に取って快適な環境を保つ便利な水槽でしたが、この水槽のセキュリティー対策の不備が、今回のサイバー攻撃の侵入口になりました。
この事件は、どんな末端のデバイスであろうと、ネットワークに接続されている限り、ネットワーク全体のセキュリティを脅かすきっかけになる可能性があり、企業内ネットワークの分離とIoTデバイスのセキュリティ強化が重要であるということを示す一例となりました。
カジノのデータが窃取が行われた原因が、設置されている水槽からなんてにわかには信じがたい話ですね!
【受講生募集中】実機を触りながらIoT機器のセキュリティを学べる短期講座
セキュリティ特化型スクール『セキュ塾』で、IoT機器を実際に触ってセキュリティ学習ができる3日間の短期集中講座『IoTと車のハッキングハンズオンコース(11月25日~27日)』の受講生を募集しております。
給付金を利用すれば、受講料を大幅に減額することができるので、IoT機器のハッキングや車の自動運転技術のセキュリティなどに興味がある方は、この機会の受講がおすすめです。
講座難易度としては、セキュリティの知識がない方でも受講は可能なレベルです。
実機を触りながらの講座なので、イメージがしやすく楽しく学べるのが特徴です!
コメント