スマートデバイスはグローバルなトレンド

現代では消費者(テクノロジー業界に関連のない人々も)の大半は、配信用や視聴用のデバイス、ペットや財産を見守るデバイス、スマートウォッチなどのウェアラブルデバイスなど、何らかのスマートデバイスが家にあると言っています。

統計によると、これはグローバルなトレンドだそうです。実際、消費者が利用するIoT(モノのインターネット)デバイスの数は来年中に、現在70億である人口を上回ると予測されています。消費者向けIoTデバイスの数は、2020年までに二倍の130億個近くになるとガートナーは予測しています。ZDNetの記事をご覧ください。また、ガートナーは、同じ時間枠でIoTが新しい電子製品デザインの95%を占めるようになるとも予測しています。「Is IoT security being regulated?(IoTのセキュリティは規制されるのか。)」をご覧ください。

これらのデバイスの原動力となるのがあらゆるセンサーです。つまりマイク、カメラ、GPS、加速度計、健康データ、温度計、気圧計などです。このセンサー群はデバイスの機能をサポートするために、常に環境から情報を集めています。

IoTのセキュリティ懸念

セキュリティの観点から考えると、明確な懸念がいくつか存在します。

  • 家のネットワークには、企業に通常あるような最新のファイアウォールや侵入検知システムがありません。
  • 消費者は、デフォルトのパスワードを変更するというような、セキュリティ上のベストプラクティスを常に実行するわけではありません。
  • たいていの場合、IoTデバイスのハードウェアライフサイクルは急速であり、ベンダーによるリアルタイムの脆弱性対策はほとんど、またはまったく提供されません。
  • セキュリティ対策はベンダーが対応してくれると消費者は思い込んでいることがあります。
  • IoTデバイスの中には手動でパッチを当てることが必要なものもあり、多くのユーザーはこれを行うことがありません。(「壊れていないなら修理する必要はないですよね?」というところでしょうか。)
  • ウェブカメラのようなデバイスは、インターネットからのアクセスを許可するためにルーティングルールを設定する必要があるので、特に恰好の標的となります。2016年12月に日本でもネットワークカメラに複数の脆弱性があることが発見された事例も存在しています。
  • 在宅で仕事をする社員は家のブロードバンドやネットワークを使用します。これには、攻撃経路となる脆弱性を持った、または危険にさらされたIoTデバイスが含まれていることがあります。

既に約380万回以上の攻撃と10万台を超えるIoT製品の感染したMirai(マルウェア)や憂慮すべき自動車へのハッキングのように、注目を浴びたIoT脆弱性が公開されたり、不当に利用されたりしていますが、これらが氷山の一角であることはほぼ間違いありません。日本国内でも、Wi-Fi通信可能な端末機器に影響があるWPA2に存在する脆弱性が複数確認されたことで、NISC(内閣サイバーセキュリティセンター)とIPAが注意喚起を行いました。別の事例では、2016年10月末にポケットルータが第三者により遠隔操作が可能となる脆弱性が発見されたことににより、店舗の在庫を回収する被害が実際にありました。

IoTデバイスは、小さなクラウドファンドされたスタートアップ企業から10億ドル以上の価値を持つユニコーン企業、さらには確立された大企業まで、様々なベンダーが設計し、作っています。北アメリカだけでも約3,000の企業がIoT分野に属しています。Forbesの記事をご覧ください。

セキュリティの扱われ方

新しいスタートアップ企業は市場に製品を出すために工程を端折ったりというように、セキュリティはベンダーの位置づけにより、様々に変化します。ガートナーは、2022年までにIoTのセキュリティ予算の半分が、予防的な保護策ではなく問題が起きてからの対処(欠陥への対処や製品のリコール)に使用されるであろうと予測しています。

明るい面を挙げるとすれば、IoTデバイスに最小限レベルのセキュリティを定義する規制政策の実施が進行中ということでしょう。もちろん、課題は全世界でのこの政策の採用と実施を達成することにあります。

それでは、今私たちには何ができるのでしょうか。Microsoftは今年初めに、興味深いサイバーセキュリティ統計を引用しています。特に次の内容はIoTに深く関わりがあります。

  • セキュリティインシデントの81%はクレデンシャルの盗難が原因となっている。
  •  73%のユーザーは複数の箇所で同じパスワードを使用している。
  •  90%のログインリクエストはクレデンシャルスタッフィング攻撃/パスワードリスト型攻撃によるものである。

これに対抗するのに役立つ基本的なアプローチは、優良なパスワードポリシー(少なくとも異なるシステムにおいて同じパスワードを使用しないこと)を念頭に置き、リスク全般に敏感になることです。

また、IoTベンダーが提供する利用可能なセキュリティアップデートで、デバイスを常に最新の状態にしておくことも重要です。すべてのIoTデバイスにパッチを当てることができるわけではなく、パッチを当てることができるものに関しても、アップデートを適用するのが非常に困難で、技術的な知識を要する場合があることには言及しておくべきでしょう。

最後に、サイバー犯罪の犠牲者になる可能性を最小限にするために、友人、家族、仕事仲間がIoTデバイスに関連する潜在的なセキュリティリスクを十分に認識して、サイバー攻撃に対する予防策を導入するようにしましょう。