2018年起きたIoTセキュリティ事故Top4
IoT技術で医療・金融・公共インフラなど様々な産業が変化しています。市場調査専門機関であるガートナーでは、2020年IoTデバイスが約204億個を超えると予測しています。このように、多くの事物がインターネットに繋げることにより、脆弱なIoTセキュリティに対する問題が台頭されています。
それで、今回は2018年に起きた注目すべきIoTセキュリティ事故TOP4を皆様へご紹介します。
1.悪性コードを防ぐためには、ルータから再起動してください
今年の5月、セキュリティ会社である「Cisco Talos」の研究員たちは、IoTボットネットの「VPNフィルター」を発見しました。このボットネットは、54ヶ国の脆弱なルータとNAS(Network Access Storage)装置に影響を与えました。
「VPN フィルター」 マルウエアは、ウェブサイトの資格証名(クリデンシャル)を盗んで、Modbus SCADAプロトコルをモニタリングできる精巧な多段階モジュール式マルウェアです。VPNフィルターと異なるIoTマルウエアの最も大きな違いは、1段階感染元がデバイスの再起動では消えない点です。そして、この1段階モジュールは多様な方法を動員し、2段階感染元をダウンロードします。2段階感染元は、普通なデータ収集機能を行っているふりをしますが、自己破壊機能を持っているため、マルウェア分析を難しくします。VPNフィルター攻撃者は数万人をすぐにオフライン状態にすることができる状況でした。
ここで、FBIは、ルータの所有者がデバイスを直ちに再起動し、パッチを設置してセキュリティソフトウェアを使うように推奨しました。当事件は、感染したデバイスの数が非常に多く、セキュリティに対する消費者の認識が低いということを端的に示す事例でもあります。この事件に関して、IoTセキュリティアプローチについてより詳しい内容は、下のコラムをご参照ください。
*参考
2.スマートシティは、鋼鉄とガラスだけで作れません。
城を築くのはかなり長くかかりますが、崩れるのは一瞬です。 スマートシティも同じです。
今年の夏、IBMとThreatcareセキュリティ研究者たちは、産業用IoTやスマート交通システム、災害管理装備を調査しました。例えば、ダムの水位を自動的に測定し、警告をおくったり、高速道路で交通状況をモニタリングするなど、いわゆるスマートシティの様々な機能について調べたものです。この調査を通じて、研究員たちは17個のゼロデイ脆弱性を発見したのです。そのうち、8個は相当な危険性を持っていて論争が起こりました。ほとんどの脆弱性は、基本暗号を使用していたり、もしくはSQLインジェクション・認証バイパスエラーなどの発見しやすい脆弱性でした。
研究員たちは、致命的な脆弱性がたくさん発見された3つのデバイスの製造会社「Libelium(リベリウム)・Echelon(エシュロン)・Battelle(バーテル)」に調査結果を知らせました。その後、3社はその脆弱性に関してパッチをし、ソフトウェアアップデートを配布しました。IoTシステムの供給業者が増えることにより、供給業者と使用者がお互い責任を持ち、重要なセキュリティを実現するために努力する姿勢が必要です。
3.知らずうちに自動車の鍵がコピーされれば?
米国の電気自動車会社である「Tesla(テスラ)」は、モデルSとモデルXの運転者にKey Fob(キーフォブ)スマートキーを提供しました。Key Fobスマートキーとは、鍵を所持した運転者が車両に近づくと、車のドアが自動にロック解除され、遠くなればロックする機能を持っており、人々から注目されました。しかし、今年の9月、このキーが複製され、問題になりました。
ベルギーのKUルーヴェン大学の研究員たちは、Key Fobスマートキーを複製し、約2秒で車両奪取に成功したと発表しました。研究者たちは、ドアの解除だけでなく、エンジンの起動のための暗号化コードを無線で自動車に転送できたと言いました。彼らが活用したデバイスは、Raspberry Piコンピューターや外付けハードディスク、バッテリーなどで装備製作に使った金額は約7万円に過ぎなかったです。
Tesla社では、自社の自動車を運転するために、ダッシュボードディスプレーに入力するPINコードを設定する機能を含め、新しい盗難防止機能を公開しましたが、研究員たちは所有者がPINをつけなかったり、キーフレームをより強力に暗号化されたバージョンに換えない以上、相変わらず鍵複製に弱いと警告しました。
4.心臓は止まったが、機械は心臓が動いていると言う!
IoT技術に対して興味が深い方であれば、IoT医療デバイスのセキュリティ脆弱性について聞いてみたはずです。最近、アメリカ食品医薬品局(FDA)は、Medtronic社のIoTデバイスのリコールを発表しました。該当デバイスは、医師が心臓搏動期の設定を制御するのに使うモニタリング装備で、認証および暗号化機能が弱く、ソフトウェア・マルウェアの感染に脆弱と知られていました。
このリコール事態が問題になったのは、セキュリティ研究員たちがすでに何回も該当デバイスの脆弱を警告したからです。脆弱性を警告したにもかかわらず、相変わらずパッチされていない脆弱性が残っており、今年8月、"2018BlackHat"イベントで、ある研究員がこの事例について発表することで、デバイスのセキュリティ欠陥問題が浮かび上がりました。
ほとんどの場合、供給業者は個人研究に対して積極的に回答しなくても、セキュリティ脆弱性が公開される時だけは迅速に措置を取ります。しかし、この事例からも分かるように、患者の命を脅かす可能性が高い医療機器の場合も脆弱性は長い間解決されずに残ることもあります。
まとめ
2018年起きたIoTセキュリティ事故4つを調べましたが、どうでしょうか。
我々が知らずのうちにIoT(モノのインターネット)はすでに日常生活に深く関係しています。だからこそ、IoTセキュリティにさらに気を使わなければならず、関心を持つべきです。
IoTセキュリティに対してさらに知りたい方は、下のコラムをご参照ください。
*他のコラムはこちら≫
ー IoTデバイスにE2Eセキュリティが必要な理由とは?
ー 無防備なネット接続がハッカーに狙われる?!Wi-Fiセキュリティの対策とは?
ー モノのインターネット(IoT)も大手企業の役目なのか。
