IoT のセキュリティの課題とベストプラクティス
IoT セキュリティとは何か
IoT のセキュリティは、インターネットデバイスとそれらが接続するネットワークをオンラインの脅威や侵害から保護することを意味します。これは、デバイス全体の潜在的なセキュリティの脆弱性を特定、監視、および対処することによって実現されます。端的に言えば、IoT セキュリティは、IoT システムを安全に保つための手法です。
IoT セキュリティが重要な理由
IoT は、コンピューターやスマートフォンだけではありません。オン/オフスイッチを備えたほとんどすべてのものがインターネットに接続し、IoT の一部になる可能性があります。IoT を構成する「モノ」の量は膨大であり、種類に富んでいます。つまり、IoT にかなりの量のユーザーデータが含まれています。このすべてのデータは、サイバー犯罪者によって盗まれたりハッキングされたりする可能性があります。接続されたデバイスが多いほど、サイバー犯罪者がセキュリティを侵害する機会が増えます。IoT がどのように機能するかについて詳しくは、こちら を参照してください。
IoT セキュリティ侵害の結果、大きな損害がもたらされる可能性があります。これは、IoT が仮想システムと物理システムの両方に影響を与えるためです。たとえば、インターネットに接続されたスマートカーを考えてみてください。サイバー犯罪者はそれをハッキングして特定の安全機能を無効にする可能性があります。IoT が業界内で普及するにつれて、つまり IIoT または産業用のモノのインターネットという用語が登場するにつれて、サイバー攻撃によって一連の壊滅的な結果がもたらされる可能性があります。同様に、IoMT または医療 IoT という用語が使用されているヘルスケア分野では、デバイスによって患者の機密情報が公開されたり、さらには患者の安全性が損なわれたりする可能性があります。スマートホームでは、デバイスが危険にさらされると、犯罪者が人々の家を監視できるようになる可能性があります。
IoT セキュリティの課題
IoT の課題と主要な IoT セキュリティの懸念事項は次のとおりです。
テストと開発の欠如
一部の IoT メーカーは、製品を市場に投入するために急いでセキュリティを後付けしてきました。デバイス関連のセキュリティリスクは、開発プロセスで見落とされていた可能性があり、一度起動すると、セキュリティアップデートが不足している可能性があります。しかし、IoT セキュリティの認識が高まるにつれて、デバイスのセキュリティも高まります。
総当たり攻撃につながるデフォルトのパスワード
多くの IoT デバイスにはデフォルトのパスワードが付属していますが、これらは多くの場合、脆弱です。それらを購入する顧客は、それらを変更できる(そして変更すべきである)ことに気付かないかもしれません。弱いパスワードとログインの詳細により、IoT デバイスはパスワードハッキングと 総当たり攻撃 に対して脆弱なままになります。
IoT マルウェアとランサムウェア
近年、IoT に接続されたデバイスが大幅に増えていること(今後も続くと予測されています)を考えると、マルウェア や ランサムウェア がそれらを悪用するリスクが高まっています。IoT ボットネットマルウェアは、最も代表的な亜種の 1 つです。
データプライバシーに関する懸念
IoT デバイスは、膨大な数のユーザーデータを収集、送信、保存、処理します。多くの場合、このデータを第三者と共有したり、第三者に販売したりすることができます。ユーザーは通常、IoT デバイスを使用する前に利用規約に同意しますが、多くの人は利用規約を読んでいません。つまり、データがどのように使用されるかがユーザーに常に明白になっているとは限りません。
エスカレートされたサイバー攻撃
感染した IoT デバイスは、 分散型サービス拒否 (DDoS) 攻撃 に使用される可能性があります。これは、ハイジャックされたデバイスが、より多くのマシンに感染したり、悪意のあるアクティビティを隠したりするための攻撃拠点として使用される場所です。IoT デバイスに対する DDoS 攻撃は、より一般的に組織に影響を及ぼしますが、 スマートホームを標的にすることもできます。
安全でないインターフェース
IoT デバイスに影響を与える一般的なインターフェースの問題には、 暗号化 が弱いかまったくないこと、またはデータ認証が不十分であることが含まれます。
リモートワークの台頭
新型コロナウイルス感染症のパンデミックに追随して、世界中でリモートワークが増えています。IoT デバイスは多くのユーザーが自宅で仕事をするのに役立ちましたが、多くの場合、ホームネットワークでは組織のネットワークのセキュリティを欠いている可能性があります。使用量の増加により、IoT セキュリティの脆弱性が浮き彫りになりました。
複雑な環境
調査によると、2020 年に アメリカの平均的な世帯では、10 台の接続されたデバイスにアクセスできました。必要なのは、家庭用ネットワーク全体を危険にさらすために、1 つのデバイスで見落とされていたセキュリティの設定ミスです。
IoT セキュリティ侵害の例
近年、サイバー犯罪者によって IoT デバイスが侵害されていると注目を浴びている例があります。これには以下のものが含まれます。
2016年:Mirai ボットネット攻撃
2016 年、数十万の侵害された接続デバイスが Mirai と呼ばれるボットネットに引き込まれました。ボットネット は、コンピューターの所有者の許可を得たり、知られたりすることなく、インターネット上で自動化されたタスクを実行するためにマルウェアに意図的に感染したコンピューターのネットワークです。Mirai 攻撃の結果、Spotify、Netflix、PayPal などの主要なサービスや Web サイトが一時的にシャットダウンされました。
2018 年:VPNFilter マルウェア
2018 年、VPNFilter マルウェアは 50 か国以上で 50 万台以上のルーターを感染させました。VPNFilter マルウェアは、ルーターに接続されているデバイスにマルウェアをインストールし、通過する情報を収集し、ネットワークトラフィックをブロックし、パスワードを盗む可能性があります。
2020 年:テスラモデル X がハッキングされました
サイバーセキュリティの専門家は、Bluetooth の脆弱性を悪用して、2 分以内に Tesla Model X をハッキングしました。ワイヤレスキーを使用してドア開閉してエンジンをかける他の車にも、同様の攻撃が行われています。
2021 年:Verkada カメラフィードがハッキングされました
Verkada は防犯カメラ会社です。2021年、スイスのハッカーは 150,000 のライブカメラフィードを侵害しました。これらは、学校、病院、刑務所などの公共部門の建物や民間企業組織内の活動を監視するカメラでした。
IoT セキュリティのベストプラクティス
IoT デバイスのセキュリティと IoT ネットワークのセキュリティを確保するために、次の点に注意してください。
デバイスとソフトウェアのアップデートを最新に保つ
IoT デバイスを購入するときは、開発者がアップデートを提供し、アップデートが利用可能になったらすぐに一貫してそれを適用させているか確認してください。ソフトウェアの更新は、IoT デバイスのセキュリティに不可欠な要素です。古い IoT ソフトウェアを使用するデバイスには、ハッカーが侵害しやすくなります。IoT デバイスから自動更新が送信される場合や、製造元の Web サイトにアクセスして更新を確認する必要がある場合があります。
IoT デバイスのデフォルトのパスワードを変更する
多くの人は、すべてのデバイスで同じログイン情報やパスワードを使用しています。一つのパスワードだけを覚える方が楽とはいえ、パスワードを使い回すと、サイバー犯罪者に不正アクセスされる危険が増してしまいます。すべてのログイン情報が一意であることを確認し、新しいデバイスでは常にデフォルトのパスワードを変更してください。複数の端末で同じパスワードを使い回さないようにしてください。
すべてのデバイスと Wi-Fi ネットワークで強力なパスワードを使用する
強力なパスワード とは、長いパスワードのことを指します。少なくとも 12 文字、さらに理想としては、それ以上の文字が含まれているとよいでしょう。そのパスワードには、大文字や小文字、記号、数字などの文字を混在させます。簡単に思い付くもの(たとえば、「1234」のように連続した数字や、生年月日やペットの名前など、知人が推測できる個人情報)は避けてください。パスワードマネージャーは、ログイン資格情報を追跡するのに役立ちます。
ルーターの名前を変更する
製造元から指定されたルーター名を保持すると、スヌーパーがメーカーまたはモデルを識別できるようになる可能性があります。代わりに、ルーターに新しい名前を付けてください。ただし、名前や住所などの個人識別子が開示されないようにしてください。
強力な Wi-Fi 暗号化方式を使用する
ルーター設定に強力な暗号化方式(WPA2 以降など)を使用すると、ネットワークや通信を安全に保つのに役立ちます。古いバージョンの WPA および WEP は、総当たり攻撃に対して脆弱です。WPA バージョンの詳細については、こちら をご覧ください。
ゲストネットワークを設定する
ルーターにオプションがある場合は、ゲストワイヤレスネットワークを作成し、WPA2 以降を使用して、強力なパスワードで保護することを検討してください。訪問者にはこのゲストネットワークを使用してください。友人や家族は、ネットワークを使用する前に、マルウェアに侵害または感染されたデバイスを使用している可能性があります。ゲストネットワークは、ホームネットワーク全体のセキュリティを強化するのに役立ちます。
IoT デバイスのプライバシー設定を確認する
お持ちの IoT デバイスには、おそらくデフォルトのプライバシーやセキュリティ設定が付属しています。これらを読み、必要に応じて設定を変更して、快適なレベルに設定されていることを確認することをお勧めします。同様に、プライバシーポリシーを確認して、プロバイダーが個人データをどのように保存および使用するかを理解するとよいでしょう。
IoT デバイスで利用できる機能を一覧表などで管理し、必要のない機能は無効化する
サイバー犯罪者に攻撃されるリスクを下げるために IoT デバイスで利用できる機能を確認し、使用しない機能は無効にしてください。たとえば、スマートウォッチについて考えてみましょう。その主な目的は時間を伝えることです。しかし、Bluetooth、近距離無線通信 (NFC)、または音声アクティベーションも使用する可能性があります。これらの機能を使用していない場合、IoT ハッカーはデバイスを侵害するためにより多くの方法を提供しますが、ユーザーに追加のメリットはありません。これらの機能を無効にすると、サイバー攻撃のリスクが軽減されます。
可能な場合は多要素認証を有効にする
多要素認証 (MFA) は、オンラインアカウントへのアクセス時にユーザーに 2 つ以上の認証を求める認証方法です。たとえば、多要素認証は、単にユーザー名またはパスワードを要求するのではなく、Web サイトの認証サーバーがユーザーの電話または電子メールアドレスに送信する追加のワンタイムパスワードなどの追加情報を要求することによって先に進みます。スマートデバイスが MFA を提供している場合は、使用してください。
ホームネットワーク上にある IoT デバイスを理解する
ネットワークを介して通信しているすべてのデバイスを確認し、それらが何をするかを理解します。これらのデバイスの一部は現在、古いモデルである可能性があります。新しいデバイスにアップグレードすると、より優れた IoT セキュリティ機能が提供されるかどうかを検討してください。
公衆 Wi-Fi を使用するときは注意する
コーヒーショップ、ショッピングモール、空港など、外出中はモバイルデバイスを介して IoT デバイスを管理することをお勧めします。公衆 Wi-Fi の使用に伴うセキュリティリスクを認識することが不可欠です。これらのリスクを軽減する 1 つの方法は、VPN を使用することです。
IoT サイバーセキュリティに気を配り、IoT セキュリティのベストプラクティスに従うことで、リスクを最小限に抑えることができます。
おすすめ製品
参考文献
IoT のセキュリティの課題とベストプラクティス
Kaspersky
