IoT デバイスの爆発的な増加は、特有のセキュリティ問題を引き起こす。たとえば、いまやボットネットを構成するデバイスは PC ではなく Web カメラやルーターに移っている。これに伴い桁違いなトラフィックの DDoS が可能になったり、防御戦略の立て直しが必要になったり、新たな課題も浮上している。
IoT セキュリティを考えるうえで、5G もまた攻撃者の攻撃ポイント、攻撃経路になることを忘れてはならない。株式会社FFRIセキュリティ代表取締役社長 鵜飼 裕司 氏は、SecurityDays Fall 2021 で「 IoT のサイバーセキュリティを取り巻く技術とその脅威の展望 2021 」と題する講演を行った。本稿は昨秋のこの講演の重要ポイントを蔵出しでお届けする。改めて 5G の問題を棚卸ししてみたい。
◆ IoT セキュリティの課題:攻撃者にとって費用対効果が高い
IoT についていまさら説明は不要かと思うが、推計では世界中に 300 億台を優に超えるデバイスがインターネットに接続していると言われている。家電、ガジェットはいうに及ばず、ファミレスの端末、小売店の端末、カーナビや自動車など台数も用途も広がっている。消費者が目にしないところでは、工場やビル設備、交通機関やインフラも IP Reachable が当たり前だ。ドローンや航空宇宙分野も例外ではない。
攻撃者からみると、IoT デバイスはクラウドや PC のように守られた存在ではないことが多く、狙いやすい標的でもある。まず、PC やスマートフォンのようなセキュリティアップデートや脆弱性管理が行き届かない。インターネット接続が比較的新しいため、設計・出荷時のセキュリティ設定が甘い(共通パスワード、アカウントのハードコード、メンテナンス用バックドア)。
また Shodan のようなツールを使えばアクセス可能な IoT デバイスがすぐに見つかる点も攻撃者フレンドリーである。必要なら、搭載 OS のバージョンまでも選別してくれる。なお、Shodan は違法サイトではなく、脆弱な IoT デバイスを調査・発見するためのものだ。本来の用途なのだ。
そしてなにより、IoT デバイスというのは世の中に大量にばら撒かれている存在だ。アップデートがしにくい、セキュリティ機能が弱いなどの特徴は、制御システムセキュリティ(SCADA)にも通じる課題だが、大きな違いは IoT デバイスの数だ。ハッカーにとっての踏み台やセーフハウス(隠れ家)のような存在が、ネット上の数十億、数百億という単位で転がっているのだ。
鵜飼氏いわく「 IoT デバイスは費用対効果が非常に高い標的」なのである。
