ホーム > mixiニュース > IT・インターネット > IT総合 > 狙われた大量のIoTデバイス なぜ攻撃される? 有効な対応策は

狙われた大量のIoTデバイス なぜ攻撃される? 有効な対応策は

0

2019年07月16日 07:12  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真写真

【この記事はデジサートのWebサイトに掲載された「Scaling Identity for the Internet of Things」をデジサート・ジャパンが日本語訳、ITmedia NEWS編集部で一部編集し、転載したものです。】



【その他の画像】



 近年、IoTデバイスへの攻撃が増え続けています。理由は台数が増えているだけではなく、IoTデバイスが攻撃に対して無防備で悪用されやすいためです。PCやスマートフォンはセキュリティを意識して使われるようになりましたが、それ以外の機器ではそうした意識が希薄になりがちです。



 ペットや子どもの見守りカメラ、テレビのレコーダー、ネットワークプリンタなどのネットワーク設定やパスワードをデフォルトのまま使っていませんか。これらは「早く使いたいから面倒なことは後で」と思いがちです。多くの人が「こんな身近な機器で、悪いことは起きないだろう」と油断していたのです。



 しかし、そうした認識は「間違いだった」と多くの人が思い知らされた事件がありました。2016年9月から10月にかけて、マルウェア「Mirai」がネットワークにつながった監視カメラなど、大量のIoTデバイスに侵入し、史上最大規模のDDoS攻撃を発生させました。Webサイトを閲覧するために必要なDNSサービスを提供する米Dynも攻撃されたため、海外ではNetflixやTwitterなどのWebサービスが使えない事態に陥りました。



 Miraiが大量のIoTデバイスに侵入できたのは、IoTデバイスの多くがセキュリティ設定をデフォルトのままにしていたからです。IoTデバイスは1台あたりの処理能力はそう高くなくとも、「ちりも積もれば山となる」で、大量の台数を使えば相当な攻撃力となります。



●IoTデバイスへの攻撃が増加しているのはなぜか



 なぜIoTデバイスは攻撃されやすいのでしょうか。それはIoT機器のメーカーが製品のセキュリティを追求するよりも、製品の使い勝手や、いち早く製品を市場に出すことを優先していたからです。



 さらに、他人の機器を乗っ取るボットネットは感染対象を探すために絶えずネットをスキャンしています。研究者のロブ・グレアム氏は、わざと脆弱なデバイスをネットに接続し、攻撃を受けるまでどのくらいの時間がかかるかを試しました。すると、驚くべきことに、わずか98秒でMiraiのようなボットネットに感染しました。



 このように、IoTデバイスのセキュリティ対策は急務となっています。脆弱なIoTデバイスをネットに接続すると、たちまち攻撃を受けてしまいます。



 日本政府も事態を深刻に受けとめて、対策に乗り出しました。総務省と国立研究開発法人の情報通信研究機構(NICT)は、インターネットプロバイダーと連携し、IoT機器の調査や利用者へ注意喚起を行う取り組み「NOTICE」(National Operation Towards IoT Clean Environment)を19年2月から行っています。



 さらに総務省は電気通信事業法にもとづく省令を改正し、20年4月からIoTデバイスに不正アクセスを防止する機能を設けることを義務付けます。



●IoTデバイスの急速な普及に、IDは拡張していけるのか



 IoTデバイスのセキュリティで具体的にどのような対策が必要でしょうか。ここでは認証とIDに焦点を当てます。認証とIDは、PCやスマートフォンで日常的に使われているように、通信の信頼性を守るための重要な要素です。



 しかしIoTデバイスは何十億から数千億の規模で急速に増加しています。インターネットのユーザー数増加とは桁違いの速さです。この速さで個体を識別するIDの暗号化技術を拡張し続けられる方法を見いだすことが課題となっています。



 米DigiCertのDan Timpson CTOは、セキュリティサイト「Security Ledger」への寄稿記事で「IoTはIDの課題を抱えている。それはIoT展開時に拡張可能な認証と暗号化ソリューションが欠如していることだ」と指摘しています。



 該当記事「Identity at Scale: how the Internet of Things will Revolutionize Online Identity(IDの拡張:IoTはどのようにオンラインのIDを革新するか)」で、彼は公開鍵暗号方式という暗号技術を使った基盤(PKI)が提供する強力なIDが「オンラインのIDとセキュリティの核心である」と断言しています。



 PKIを使って発行されたIDはユーザーアクセス、保存データ、デバイスの通信や起動、ソフトウェア更新などあらゆるものを保護するために使えるからです。



●「IoTデバイスは暗号化の計算能力が不足している」は間違い



 IoTデバイスにはいくつかの課題があります。ここでは2つを挙げてみましょう。



 まず1つはリソースの制約です。多くのIoTデバイスは処理リソースが限られています。一般的に「強力な暗号化を使うには計算能力が不足している」と考えられています。それで暗号化を断念してしまうと、ブルートフォース攻撃や中間者攻撃など、盗聴の危険にさらされることになります。



 しかしながら、暗号を使うには計算能力が不足しているというのは誤解です。暗号化と認証の機能を提供するインターネット標準プロトコルのTLSは、さまざまなデバイスで使用可能であり、IoTのような低電力デバイスでも「処理が重すぎる」ことはありません。



 もう1つは規模です。毎日何万ものデバイスがオンラインになると、全てのデバイスを管理するため、シームレスにスケールアップさせられるような仕組みが必要になります。IT調査会社のガートナーは、20年末までにネットに接続する機器が全世界トータルで200億台にも上ると推定しています。



 あまりに規模が多く、気が遠くなってしまうかもしれません。しかし、PKIは全てに対応できるでしょう。



 PKIは、暗号鍵が証明書という形式でデバイスに書き込まれています。これらの証明書はデバイスの識別情報を提供する要件に合わせてカスタマイズできます。例えば、何かユニークなIDのシリアル番号で証明書を識別するなどです。証明書は認証局(CA)と呼ばれる信頼できる機関が発行します。証明書の発行を機器の製造数に合わせて数百万単位へと拡張することも簡単にできます。



 PKI証明書はIoTの完全なセキュリティソリューションとして重要な役割を果たし、あらゆるデバイスの暗号化、認証、ID証明といった必要性に対処できるでしょう。製造開発チームが複雑なシステム管理の自動化ツールを採用すると、証明書のシームレスな使い勝手と信頼性の維持が両立できます。



 爆発的に急増するIoTデバイスは、PKIのような仕組みを採用することがセキュリティの課題を解決する手だてになるでしょう。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定