Granite River Labs, GRL
サンジャイ・K・シャルマ
IoTデバイスの急速な普及は日常生活に革命をもたらしました。2030年までに世界中で290億台のIoTデバイスが流通すると推定されています。これにはベビーモニター、煙探知機、ドアロックなどのセキュリティ機器やスマートカメラ、テレビ、スピーカー、ウェアラブル・ヘルス・トラッカー、ホームオートメーション、警報システムなどのエンターテインメント・システムが含まれ、人々は生活のさまざまな側面を管理・監視できるようになります。
しかし、IoTは重大なサイバーセキュリティのリスクももたらします。ネットワーク上の新しいデバイスはサイバー攻撃者にとって侵入口になってしまいます。多くのIoTデバイスはセキュリティー機能の面で遅れをとっており、定期的なアップデートが行われないため、IoTシステムは標的となってしまいます。
IoTマルウェア攻撃の増加 - 2023年
2023年はIoTセキュリティの脅威にとって重要な転換点となります。Zscaler ThreatLabzのレポートによると、IoTマルウェア攻撃は前年比400%増という驚異的な増加を見せています1。この劇的な増加はコネクテッドデバイスの普及に伴うセキュリティリスクを強調しています。
Rokuのサイバー攻撃 2024
2024年に発生したRokuへのサイバー攻撃では576,000以上のアカウント2 が侵害され、IoT機器の脆弱性が浮き彫りになり、消費者の信頼、規制遵守、サイバーセキュリティ対策の技術エコシステムへの統合に関する重要な疑問が提起されました。
侵害されたIoTデバイスはDDoS攻撃や個人ネットワークへの侵入、機密データの窃取の入り口となる可能性があります。例えば、Miraiボットネット攻撃3は何千ものIoTデバイスを使って、大規模なウェブサイトをダウンさせます。これによって、この脅威がいかに大きなものかわかり、危険にさらされたスマートカメラや健康モニターなどを通じて、何十万人もの人々を危険にさらす可能性も少なくありません。
IoT機器の技術的な弱み
IoTデバイスやそれに接続されたネットワークが攻撃を受けやすくなるIoTデバイスの一般的な弱みには次のようなものがあります。
- 認証の弱さ:デフォルトのユーザー名とパスワードに頼るIoTデバイスは標的になりやすく、このような時代遅れの認証メカニズムはもはや現代のサイバー攻撃に対する十分な防御策とは言えません。
- 暗号化されていない保存データ: IoTデバイスに暗号化されずに保存された個人データは簡単に抜き取られ、悪用される可能性があります。
- 未使用のインターフェース: 適切に保護されていない、あるいは無効化されていないオープンインターフェースや未使用のインターフェースも攻撃者が個人データを取得したり、デバイスを制御するために使用することができます。
- 定期的なアップデートの欠如: 定期的なセキュリティ・アップデートがないIoTデバイスは時間の経過とともにリスクも高くなります。
製造者の役割:IoT機器の製造者はより強力な認証プロトコルの実装、ファームウェアの定期的な更新、保存データの暗号化などセキュリティ対策の改善を求められています。消費者はこうした弱みや自分のデータがどこで危険にさらされる可能性があるのかを知らないことが多いです。これらのデバイスのセキュリティー確保は極めて重要であり、その第一の責任は製造業者にあります。ユーザーのデータとプライバシーを守るため、製品のセキュリティを優先しなければならないです。
基本的なサイバーセキュリティ要件への準拠は2025年8月までにCEマーキング要件を満たすためにEU REDの下で消費者向けIoT機器に義務付けられています。 さらに、ETSI EN 303 645、NIST、OSWAP Top 10、CWE 25規格やその前身となる規格とセキュリティ要件を整合させている国際的な認証制度もあります。これらの規格は13以上の重要な推奨事項を通じて、コネクテッド・コンシューマー製品に強固なセキュリティ基盤を提供しており、その中でも最も重要なものは以下の通りです。
- 初期パスワードの廃止
- セキュリティの弱みに関するポリシーの導入
- ソフトウェアを常に最新の状態に保つ
GRLは様々な国内/国際規格の認定試験所として、IoTデバイス、アプリケーション、通信機器のセキュリティ試験などを上記の規格に従って実施しています。製品のセキュリティ対策は手遅れになる前に実施しましょう。IoTの専門家を活用し、サイバー攻撃のリスクを抑えましょう。
筆者について
サンジャイ・K・シャルマ
サイバーセキュリティ・サービス部次長
サンジェイ・K・シャルマはサイバーセキュリティサービスの開発とさまざまな国内、国際、業界標準に従った評価施設の設立を担当しています。IoTおよびデジタル接続技術の戦略のサポートも担当しています。
参考文献
1. Adm Ford. 11 Jan 2024. Securing Public Sector Against IoT Malware in 2024. Zscaler Blog.
2. Ty Roush. 12 Apr 2024. Roku Says 576,000 Accounts Compromised In Latest Security Breach. Forbes.
3. Cloudflare. What is the Mirai Botnet?