IoTのセキュリティに対する米国連邦政府と州の方策におけるギャップ

avatar

 2018.11.26  Japanブログ編集部

Justin Sherman氏は、IoTセキュリティに関する米国連邦政府の政策に言及した最近の記事で、サイバーセキュリティとプライバシーポリシーの両方に存在するいくつかのギャップを特定しました。この記事で、Sherman氏は次のように主張しています。

米国連邦政府は、世界の他の国と同様に、ますます多くのIoTデバイスを使用して、既存のプロセスを改善・強化したり、新しい機能を開発したりしています。しかし、そのようなデバイスの使用に関する方策は、それに追いついていません。このことは理論上の問題になるだけでなく、既に国家の安全を脅かしているのです。たとえば、数千もの送電網のIoTセンサーが、脆弱なパスワードや暗号化方式を使用して接続されていたとしたらどうなるかを想像してみてください。今年1月、研究者がインターネット経由で米軍関係者が着用していたウェアラブルデバイスを追跡したとき、我々は、堅牢なデータプライバシー保護機能なしでIoTデバイスを使用することの危険性を垣間見ました。同様の事がこの夏にも発生しました。世界各地の米軍および諜報機関の関係者を、研究者たちがフィットネス追跡アプリの「Polar」経由で追跡したのです。政府も、そのスタッフも、IoTシステムを次々と採用しており、その流れは今後も続くことでしょう。問題は、その安全性を確保するための適切な方策が伴っていないことです。

これと同じ時期に、カリフォルニア州は、Web接続されたデバイスのサイバーセキュリティ基準を策定する法案を承認した最初の州となりました。このカリフォルニア州の法案は、マルウェアMiraiによるボットネット攻撃中に特定されたセキュリティ欠陥の一部に対処し、これまで存在していなかったIoTデバイスに対するサイバーセキュリティ基準のベースラインを打ち立てるものです。この法案により、州および連邦レベルの、より強力なIoTサイバーセキュリティ法案の基礎が築かれる可能性があります。しかし、その内容はあまりに漠然としているためにその有効性が疑問視されています。また、IoTのセキュリティ対策に取り組まない方法の例が示されています。

セキュリティの研究者であるRobert Graham氏は、この法案の意図は買うものの、「セキュリティ機能を追加するという誤ったコンセプトをベースにしている」ために、「セキュリティの向上にはほぼ役に立たないであろう」と批判しています。また彼は、「重要なのは、"セキュリティ機能を追加"することではなく、"安全ではない機能を取り除く"ことである」と訴えています。Ruth Artzi氏は、、「この法案は"非常に基本的な自動化された脅威"の防御にしか効果を発揮しないだろう」とコメントしています。

セキュリティの研究者たちは、新たなIoTセキュリティにおける脅威の環境に対処するうえで、現在のIoTセキュリティポリシーには、基本的なずれがあることを指摘しています。その問題を理解するために、IoTのセキュリティにおける最近の傾向を詳しく見てみましょう。

まずは、脅威の環境について説明します。

製造業や運輸、自動車、政府機関、公共サービス分野において、IoTセキュリティのテクノロジーは成熟の一途をたどっています。しかし、2018年には、より有害な攻撃が発生するとForresterが予測しています。攻撃の性質に関する同社のレポートでは、政治的、軍事的、社会的な損害と混乱を引き起こそうとする攻撃者より、金目当ての攻撃者が目立つようになると予想しています。

Gartnerの別のレポートは、次のように警告しています。「ハッカーらがIoTデバイスとそのプロトコルを攻撃する新しい手法を見出してくるため、新たな脅威が2021年まで継続的に出現するでしょう。そのため、長く使うIoTデバイスには、アップデートが可能なハードウェアやソフトウェアを採用する必要性が出てきます。」

Bruce Schneier氏は、彼のブログのなかで、「IoTの完全性と可用性を脅かす攻撃は、機密性を脅かす攻撃よりもずっとたちが悪い」と訴えています。また、「組み込み型のシステムやIoTデバイスには、脆弱性が溢れていて、それらにパッチを適用する良い方法もないために、深刻なセキュリティ上の問題となっている」とも述べています。Schneier氏は、パッチ未適用のシステムやソフトウェアの制御に関する問題に加え、高度な相互接続性を有するIoTの性質と、これらのデバイスの自動化機能および自律性の度合いに関する問題を強調しています。

上記の問題については、Kaspersky Labがその最近の調査で取り上げ、確認しています。その報告によると、IoTデバイスに対するサイバー犯罪者の関心は高まり続けており、2018年の前半だけで、2017年の3倍のスマートデバイスがマルウェア攻撃を受けています。ちなみに、2017年の同攻撃件数は、2016年の10倍でした。デバイスに対する攻撃・感染手法としては、ブルートフォース攻撃でTelnetのパスワードを取得し、Miraiファミリーのマルウェアをダウンロードするというのが相変わらず最も一般的ですが、サイバー犯罪者らは常に新たな感染手法を探しています。「代替となるテクノロジー」の例としては、Reaperボットネットが挙げられます。2017年の終わりには、Reaperは2百万台のIoTデバイスに感染し、ボット化しました。ブルートフォースでTelnetパスワードを破る代わりに、このボットネットは、ソフトウェアの既知の脆弱性を利用していました。

同社のレポートによると、IoTにマルウェアを感染させる最大の目的は、DDoS攻撃を実行することです。感染したスマートデバイスはボットネットの一部となります。そして、コマンドに従って特定のアドレスを攻撃し、ホストが本来のユーザーからのリクエストを正常に処理できないようにします。

別のタイプのペイロードには、仮想通貨に関係するものもあります。

スマートデバイスの処理能力は低いため、IoTデバイスは高性能PCへのアクセスに使われる鍵として利用されます。一方で、2018年5月に発見されたトロイの木馬VPNFilterは、感染したデバイスのトラフィックを傍受し、重要なデータ(ユーザー名、パスワードなど)を抽出してサイバー犯罪者のサーバーに送信するといった他の目的で使用されました。VPNFilterに関する最初のレポートでは、50万件のデバイスの感染が報告されています。それ以降も、さらに多くのデバイスが感染したことに加え、脆弱性を含むデバイスを製造する企業もかなりの勢いで増加しています。このようなメーカーのデバイスが企業ネットワーク内だけでなく、家庭用ルーターとしても使用されることが状況の悪化を招いています。

上記の調査結果に加え、IoTデバイスの攻撃対象領域が広大であることを鑑みると、状況は一触即発であることがわかります。Ciscoによると、現在49億のコネクテッドデバイスが存在しており、2020年までにその数は120億にまで膨れ上がると試算しています。一般消費者と企業がさらに多くのIoTデバイスを採用し、脅威が増え続けているため、これらのデバイスを簡単にかつ一括して保護することが難しくなっています。

あらゆるレベルの政策立案者が取り組むべき第2の課題は、IoTデバイスの製作企業側に関することです。

デバイスメーカーは、コストの低減と納期の短縮のために、セキュリティを必要最低限に抑えようとしています。そのために、デバイスへのセキュリティ機能の実装が不適切であるという結果に陥っています。ただし、メーカー側が実装を拒んでいるのではなく、実装方法について効果的な指導を受けていないという背景があります。

デバイスのセキュリティは、理解して実現するには労力とコストがかかりすぎるという理由で、省略されたり、後回しにされたりすることがよくあります。そこには、コストをどこにかけるのかという点で大きな誤解があります。コストは、セキュリティ基準を効果的に満たすために必要なソフトウェアではなく、セキュリティそのものを理解すること、つまり教育にかけるのです。重要なのは従業員のセキュリティ意識です。

言うまでもなく、重要インフラはその接続性が増すにつれ、「悪い奴ら」の興味をより強く引くようになります。国家的組織主導の攻撃が台頭する今の時代ではなおさらです。セキュリティは、さらに「インテリジェント」に変化しています。AIを活用し、より安全なIoTを実現する新しいテクノロジーなどを統合したり組み込んで、総合的なものになっています。そのようなときでも、人間的側面と良識は重要な要素であり続けます

この分析は、Justin Sherman氏がまさに述べたように、あることを浮き彫りにしています。

イノベーションを促進するIoTデバイスのサイバーセキュリティとデータのプライバシーに対する明確な業界基準の策定が急務とされています。セキュリティに関する教育と意識向上プログラムをすべての従業員に対して実施する必要があります。また、データプライバシーの保護を尊重する文化に加えて、これらの技術上および運用上の対策を補完する強力なサイバーセキュリティ文化も必要です。しかし、何よりも、米国連邦政府は、新たなIoTセキュリティの環境におけるIoTのセキュリティおよびプライバシーポリシーに対処すべきでしょう。

New Call-to-action

RECOMMEND関連記事


この記事が気に入ったらいいねしよう!