2017年2月22日水曜日

自動販売機やLED電球らが一斉に「ネットワーク攻撃」の珍事 | Forbes JAPAN(フォーブス ジャパン)

自動販売機やLED電球らが一斉に「ネットワーク攻撃」の珍事 | Forbes JAPAN(フォーブス ジャパン):

 今回はこの山ちゃんウェブログでも何度か取り上げているIoTのセキュリティ脅威に関する話題を、Lee Mathews氏の記事を元にして考えてみようと思います。元記事でも語られていることですが、従来ネットワーク上の踏み台として悪用されるのは、セキュリティの甘いサーバーや個人のパソコンと相場が決まっていたのですが、最近ではIoTデバイス(特にデジタルビデオレコーダーが多いそうですが)が乗っ取られて踏み台にされるというケースが増えてきているようです。

 元記事が伝えているのは、ベライゾンのセキュリティ担当チームに相談があった、ある大学の構内ネットワークがダウンさせられてしまった例です。犯人は大学内の自動販売機やスマートLED電球・街灯など、5,000台ものIoTデバイスにマルウェアを感染させ、大学のネットワークに対してDDoS攻撃(Distributed Denial of Service Attack、数多くのデバイスから一斉に要求を送信してハングアップさせる)を仕掛けたのだそうです。

 運用中にもセキュリティパッチが当てられたりOSの更新が行われるパソコンやサーバー・スマホと違って、IoTデバイスは一度世に出てしまうとそのソフトウェアが更新される機会はほとんどなく、セキュリティホールがほったらかしになることがほとんどです。しかも、自動販売機や街灯は滅多なことで買い換えないですし、寿命が長いLED電球も10年くらいは交換されないでしょう。公式に3年とか5年とか言われているスマホやパソコンの買い替え周期(個人ユーザーは壊れない限り使い続ける人も多いでしょうが)と違って、IoTデバイスは10年・20年という周期のものも多いので、買い替えによって新しいソフトウェアを搭載したものに置き換えられることも少ないのです。そういった運用面の性格やライサイクルの長さだけでなく、実際のIoTデバイスの中には、Telnetサービスを稼働させたままどうぞ乗っ取ってくださいと言わんばかりの粗悪品も多いのが現状という有様です。

 さらに、大学やビル・ショッピングセンターなどで設置される自動販売機・LED電球・街灯・空調機・エレベーターなどのIoTデバイスは、同じメーカーの同じ型式の製品が数多く設置されることが多いのです。当たり前ですよね。大学の教室に50個ほどのLED電球を設置する時、バラバラのメーカー・型式の電球ではなく、やっぱり見た目にも揃って見えるように同じメーカー・型式のもので揃えるじゃないですか。しかも、大抵は一括で購入する方が安いので、教室ごとにメーカーや型式を変えたりせず、すべての教室でできるだけ同じものを使うのが普通と思いませんか。つまり、犯人にとっては1つのスマートLED電球を攻略できれば、大学内の何百・何千というスマートLED電球はが同じ方法で乗っ取ることができるのです。これがパソコンやサーバー・スマホなどであれば、1台1台細かい設定が違っていたりソフトもバラバラだったりするので、犯人がIoTデバイスを踏み台に選ぶのは効率を考えれば必然かもしれません。

 今回の事件では犯人がパスワードを暗号化せず送信していたので、管理者が逆にそのパスワードを盗聴してIoTデバイスを乗っ取り返し、それ以上被害が広がるのを食い止めたのだそうです。しかし、ここで被害を止められたのはラッキーだっただけで、犯人が往路フェッショナルのハッカーだったら平文でパスワードを送受信する愚は犯さないでしょう。

 総務省の予想ではIoTデバイスの数は2020年までに約530億個と言われており、膨大な数をハッカーから守るのは天文学的な難しさだと言わざるを得ないでしょう。攻撃側は530億のうちセキュリティの弱いデバイスや社会的影響の大きいデバイスなどを選んで攻撃できるのに対して、守備側は530億をほぼ全部守らなければならないのですから。そして本文の中でも述べたように、IoTデバイスは一度世に出るとセキュリティホールがほったらかしにされることが多く、買い替え周期も長いので買い替えによってデバイスごとソフトウェアが入れ替わることも少ないのが現状です。とても悲観的な意見と言われるかもしれませんが、数の膨大さと運用の特徴という2つの理由によって、IoTのセキュリティを解決する手立ては現実問題として存在しないのではないかと思うのです。

ブログランキングに参加しています。よろしければポチッとご協力をお願いします

0 件のコメント:

コメントを投稿