IoT – 脆弱である事実とメーカーの意識改革の必要性

最新情報2017年6月19日―フォスカムはこれらの脆弱性を矯正するためにファームウェアを更新した。当社は問題が解決されたことを確認するためファームウェアの更新を詳細に調査中である。

著者: F-Secure Business Security Insider
日付: 2017年07月06日
読了時間: 1 分

最新情報2017年6月19日―フォスカムはこれらの脆弱性を矯正するためにファームウェアを更新した。当社は問題が解決されたことを確認するためファームウェアの更新を詳細に調査中である。

IoTは定着している。それによってわくわくさせるような可能性、コスト節約そして効率のよさが到来しているのである。しかしこの明るい新しい世界には暗い一面があり、それは、もしスマート(精密で高感度)であれば脆弱である、といういわゆる「ヒッポネンの法則(英語ページ)」として要約できる。

エフセキュアやわたくしどものような企業はインターネットに接続した「モノ」の脆弱性を常々発見している。そして中国のメーカーであるフォスカムが製造した2つのIPセキュリティーカメラに複数の脆弱性が最近発見されたことによりあらためてヒッポネンの法則が証明された。わたくしどもの新しいレポートに詳述されているように、もし利用されれば、攻撃者にカメラを支配し、ビデオフィードを眺めそしてダウンロードすることを許してしまう18個の異なる脆弱性がカメラの中にあることをエフセキュアはつきとめたのである。

これは何ら新しいものではない。すなわち、われわれはみなハッカーののぞき魔が、気が付かず犠牲者をひそかに見張っているという話を聞いてきたのである。しかし忘れてはならないのはこのデバイスはカメラだけというわけではなく、サーバーでもあるという点である。エフセキュアのヤンネ・カウハネンがこのビデオで説明しているように、攻撃者にその他のネットワークへの足場を与える脆弱なサーバーなのである。

絶え間なく変化するネットワーク

ネットワークの境界線は何年も自然に薄れてきたし、また、今も溶けつつある。クラウド化、消費拡大化、労働力の可動化により、かつて内部にあったデバイス、財産、データは今や外にあり、外にあったものは今や内にあるのである。モノのインターネットはさらにこのネットワークの外辺を消去し、スマートな「モノ」でワークステーション、ラップトップ、スマートフォン、タブレットをはるかに超える領域にまでネットワークを拡大するのである。

カウハネンはこのように述べている。「IoTは人々がネットワークデバイスだとは考えていないネットワークの中にもっと多くのデバイスを持ち込むのである。これは企業が自社のネットワークの中にあるデバイスすべてまでは認識していないという影絵的なIT状況につながるのである。そしてそれについて知らなければ守ることはできないのである。

セキュリティーの軽視

当該脆弱性を発見した当社のセキュリティーコンサルタントハリー・シントネンはこれほどひどく設計されたデバイスは見たことがないと述べている。「これらの脆弱性はこれ以上ひどくはならないくらいだ」と彼は述べる。「攻撃者にほぼ何でもやりたいことはやらせてしまう。攻撃者は脆弱性を1個ずつ利用することもできるし、複数の脆弱性を混ぜたり組み合わせたりすることによってデバイスおよびネットワーク内で最大限の特権を享受できるのである」

このカメラを悩ます脆弱性の多くは放置・軽視に関わるものである。デフォルトのパスワードをランダムにしない、不正なパスワードを何度も試みるユーザーをロックアウトしない、重要なファイルやディレクトリへのアクセス制限をしない、などである。脆弱性のいくつかは、隠されたテルネットアクセスすなわちユーザー固有のパスワードでさえをも攻撃者に迂回することを許容してしまうプログラム中に固定された資格のようなあってはならない性能に関わるものである。

しかしそれらはすべてひとつの事項に収斂するのである。すなわち、メーカーによるセキュリティー問題についての慢性的な見落としである。この問題はスマートな「モノ」全般に蔓延している。セキュリティーはセールスポイントではなく、そのためメーカーはそこに投資しないのである。これにより安全性が低いカメラ、ルーター、サーモスタット、DVR、湯沸かし器、車等々が溢れるにいたったのである。

これはそうしたデバイスの所有者のみに影響を与える問題ではない。昨秋、空前のDDoS攻撃(分散型サービス妨害攻撃)(英語ページ)により、安全性が低くマルウェアに感染した大量のIoTデバイスが利用され、広範囲にインターネットに不具合が引き起こされた。この攻撃は、IoTセキュリティーを適切に備えていなければインターネット全体がリスクに曝されるということをはっきりと示したのである。

これらのデバイスを探し、感染させることは、世の中にいる攻撃者にとってはいともたやすいことであるがそれはメーカーが容易にしてしまったからである。カウハネンは言う。「こうしたデバイスのひとつがあなたのネットワークの中にあるのであれば、悪い奴らは絶対に見つけに来ます」

map of potentially vulnerable Foscam devices around the world

修正

見通しは暗く聞こえるかもしれないが、希望はある、とエフセキュアの専門家たちは述べる。規制は決して理想的な解決策ではないものの、メーカーの関心をセキュリティーに向けさせるのにひょっとすると役立つかもしれない。

「多くの業界はセキュリティーの問題を解決するという過程を経ています。」とエフセキュアのセキュリティーアドバイザーであるショーン・サリバンは言う。「例えば自動車の場合、結局、シートベルトはいい考えだとわかりました。IoTも同じ過程を辿りつつあります。10年以内にこれらの問題はおのずと解決しているでしょう。問題は、その間、自社の競争力をこうした問題のために鈍らせたいかどうかなのです」

ビジネスにとって、問題に正面から取り組むことはこうした種類のデバイスがインターネットに曝されておらず、別個のネットワーク内にあることを確かめるということを意味する。そして、それはセキュリティーに対して全体観的で重層的なアプローチを採用することを意味する。自分のネットワーク内で何が起こっているのか状況をよく把握することである。攻撃を受けるサーフェスを理解し、それを最小化するのである。

IoTデバイスを作製する企業にとって、今、セキュリティーに焦点を当てておけば、規制が立法化された際には優位に立てているのである。したがってスマートデバイスを作るのであれば、最初からソフトウェアにセキュリティーを設計(英語ページ)しておくべきである。製品のセキュリティー工程を備えておき、大きくなくとも経営資源をセキュリティーに振り向けさえすれば、その他一団の企業から自社を差別化できるのである。特に各規制が施行された時にはこれが自社に有利に働くことがあり得る。エフセキュアの主任セキュリティーコンサルタントであるOlle Segerdahlによるこの講演(英語ページ)から、安全性の高いシステムの設計についてもっと学ぶことができる。


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中