ブログ

FFRI BLOG

Monthly Research 「IoTデバイスのセキュリティの現状」

様々なIoTデバイスが発売され、活用され始めています。IoTデバイスは、今後さらに普及していくことが予想されます。
しかし、インターネットに接続するという性質上、セキュリティの懸念もあります。
IoTにおけるセキュリティ対策の重要性は高まっており、IPAが2016年5月に「IoT開発におけるセキュリティ設計の手引き」を公開しています。
そこで、今回のMonthly ResearchではIoTデバイスのセキュリティの現状と題し、近年のインシデントやセキュリティ研究事例、IoTデバイス開発における対策などを紹介します。

IoTデバイスに関連するインシデント情報

2015年から現在まで報告されているIoTデバイスに関するインシデント事例をいくつか紹介します。

まず1つ目はネットワークカメラに関するニュースです。
この問題は、ネットワークカメラの映像をネット上からのぞき見できるサイトが公開されているといった事例です。
この問題の原因は、機器の脆弱性等ではなく、利用しているパスワードが購入時に設定されているデフォルトパスワードのままであることが原因であるとされています。

2つ目はIoTデバイスを標的とした攻撃を観測したという警察庁からの発表です。
この発表では、Linuxを搭載したIoTデバイスが狙われているというものであり、その際にTelnetに対する攻撃が非常に多いと発表しています。

3つ目はガス機器に関する事例です。この例では外出先からガス機器を遠隔操作できるサービスのパスワードについての取り扱いに不備があり、前の利用者がガス機器の操作等を行えるという問題を発表した内容となります。この問題は利用者変更時のパスワードの取り扱いに問題があったことが原因です。

以上のように、IoTに関係するインシデントの原因は様々であり、セキュリティに対しての意識を広く持つ必要があります。

IoTデバイスに想定される脅威

IoTデバイスに想定される脅威の一例を紹介します。

まず1つ目はマルウェア感染です。PCはほとんどの場合、操作するためにディスプレイを有していますが、IoTデバイスの場合、ディスプレイを搭載する必要がない機器のほうが多く、実際にほとんどの製品にはディスプレイが搭載されていません。そのため、デバイスの状態を把握することが難しく、感染に気付かないといったことが懸念されます。

2つ目は物理的侵害です。これは既存のハードウェアをIoTで制御する機器で想定される問題です。具体例として、スマートロックが挙げられ、サイバー攻撃によって家の鍵が開けられ不法侵入される被害が懸念されます。

3つ目は情報の流出です。IoT デバイスを介して収集される情報の流出によってプライバシーの侵害などが懸念されます。

IoTデバイス開発におけるセキュリティ対策

IoTデバイスに想定される脅威に対して、開発時に実施できる対策の一部を紹介します。

・脆弱性を修正するアップデートや緩和策を速やかに提供するシステム
・TLS による通信の暗号化
・適切なパスワードや認証設定
・筐体の分解を困難にする
・デバッグインターフェイスの無効化
・デバイスのファームウェアやスマートフォンアプリの難読化

対策についての具体的な情報は、IPAから提供されている「IoT開発におけるセキュリティ設計の手引き」をご確認ください。

利用者はセキュリティリスクの認識が必要

IoTデバイスは便利であり、今後さらに普及することが予想されますが、サイバー攻撃によって様々な被害が発生する恐れが考えられます。そのため、利用者もセキュリティリスクを認識したうえで、利用する機能や扱うデータを選択していく必要があると思います。


Monthly Researchのダウンロードはこちら(日本語 / English


関連記事

IPA「IoT開発におけるセキュリティ設計の手引き」

Monthly Research 「Black Hat Asia 2016 サーベイレポート」

Monthly Research 「Mac OS Xを狙う新たなランサムウェアの登場」

pagetop