「スマート水槽」によって起こってしまったセキュリティ事故について考える 〜スマートホームとIoTの脆弱さ〜

f:id:Far2Kind:20171114110612j:plain

7月20日にインターネットに接続された「スマート水槽」を介して、北米のカジノネットワークに侵入、情報を不正に取得しようとする事件が発生しました。

この事件では、水槽に搭載されたインターネット経由で「魚のえさやり」や「温度などの環境維持」を行うシステムが、逆に悪用され、侵入口として利用されてしまいました。

 

このようにIoT機器がインターネットに接続されるにあたって、従来では想定されていなかったような問題が発生するリスクが高まっています。こういった状況に対して、どのように対策を行えばよいのでしょうか。また、IoT機器に対するセキュリティ上の取り組みにはどのようなものがあるのでしょうか。

 

・事件の経緯:

今回「スマート水槽」を介して発生したセキュリティ事故の経緯は以下のようになっています。

 

- 2017年7月20日:セキュリティ企業「Darktrace」が同社の報告書「Global Threat Report 2017」において以下の報告を行う

→ インターネットに接続された「スマート水槽」を介して、何者かがカジノネットワークに侵入、情報を不正に取得しようとした。

 

・事件の原因(問題点):

「スマート水槽」を介して、ネットワークに不正アクセスするという今回の事象は、通常のコンピュータのような十分なセキュリティ対策が「スマート水槽」に行われていなかったところにあります。

 

通常のパソコンやサーバーなどではOSやアプリケーションのアップデートプログラムやセキュリティパッチを適用することで、脆弱性などの問題を解消することができますが、「スマート水槽」のようなIoT機器の場合はそういったことができないケースも多く、そのため、悪意を持った犯罪者からは侵入しやすく格好の標的となっています。

 

・この事例の何が危険なのか:

今回の事例の何がもっとも危険だったのでしょうか。それは、従来のようなパソコンやスマートフォンではなく、予想もしないもの「スマート水槽」が不正アクセスのトリガーになったことです。これは、従来のコンピュータとネットワークに特化したセキュリティ対策では不十分であることを意味します。

 

・まとめ(筆者所感):

この「スマート水槽」を介してカジノネットワークに不正アクセスを行なった事例では、従来のパソコンやサーバーなどのコンピュータに比べてセキュリティ対策が十分とは言えないIoT機器をターゲットにした、まさに時代の流れを反映したセキュリティ犯罪と言えます。

 

従来のコンピュータでは、更新プログラムや修正パッチ、あるいはセキュリティ対策ソフトウェアなどの対策をしっかりと行うことで防げたセキュリティ上の脅威も、こういった更新の仕組みを持たないIoT機器の場合は難しくなります。しかし、今後すべてのものがインターネットに接続されていくというIoTの基本方針のもとにこういったケースはさらに増えていくことが確実です。

 

では、これらIoT機器に対するセキュリティ対策とはどのようにあるべきなのでしょうか。総務省のガイドラインによれば、IoT機器に対するセキュリティ対策とは、以下の4つのポイントからなっています。

 

1) 問い合わせ窓口やサポートのない機器の利用や購入はしない

2) 初期設定に気をつける

3) 使用しなくなった機器については電源を切る

4) 機器を手放す時はデータを消す

 

まず「問い合わせ窓口やサポートのない機器の利用や購入はしない」について、機器を利用する際は必ず問い合わせ先やサポートがあるものを使うべきです。問題発生時に問い合わせることが出来ない機器は利用すべきではありません。また「初期設定」も大切です。むやみに管理画面にログオンしたり出来ないように、十分強いパスワードを設定することが必要です。決して初期パスワードのまま利用することはやめましょう。

 

そして、もう一つ大切なことは「使用しなくなった機器の電源を切る」ことです。電源が入ったままだと、それを踏み台にして不正アクセスされるといったリスクも否定できません。必ず電源は切りましょう。最後に「機器の廃棄の際はデータを消す」ことが重要です。パソコンなども同じですが、廃棄業者がデータを抜き取って悪用するケースがあります。情報漏洩につながるケースもあるので、データは必ず削除しましょう。

 

IoT機器のセキュリティ対策は、従来までのパソコンやサーバーといったコンピュータ、スマートフォンタブレットといった情報機器とは大きく異なる難しさがあります。これは、OSが組み込み型である、あるいはソフトウェアが組み込まれていて更新することができないなどの理由、またIoT機器に対してプログラムを更新するのであれば、幅広い帯域のネットワークで接続しておく必要がありますが、それが通信コストなどの理由で出来ないケースもあります。

 

サイバーセキュリティ対策について詳しくは弊社のサイトをご覧ください。

http://www.pipelinesecurity.jp/

 

本来、高度な専門家を必要とする適切なセキュリティ対策も、同社のソリューションを導入することで可能になります。ご興味のある方は、ぜひWebサイトをご覧ください。