3月に完全版が公開される予定のVerizonのデータ漏洩ダイジェストのプレビュー版で、身元不明の大学が所有するIoT(モノのインターネット)デバイスがハッキングされ、ボットネット化されていたことが明らかになりました。大学のITチームは、この事件を通して得られた厳しい教訓をいくつか提示し、他のボットネットによる大学のIoTインフラの乗っ取りを防ぐための対策に役立てています。
どうしたの
影響を受けた大学では、利便性と管理効率の向上を図るため、スマート電球、自動販売機、冷蔵庫など、様々なIoTデバイスを導入していました。ところが、学生からインターネット接続の不具合に関する苦情が寄せられた際、ITチームは「5,000台以上の個別システムが15分ごとに数百回のDNSルックアップを実行している」ことを発見しました。これらのシステムのほぼすべてが、大学のIoTインフラ専用ネットワーク上に存在していました。
ITチームは、IoTデバイスが脆弱なデフォルトパスワードを使用しており、ボットネットがデバイスからデバイスへと拡散するにつれて、総当たり攻撃によってパスワードが破られていたことに気付きました。ITチーム(そして大学の会計部門)にとって幸運なことに、影響を受けたデバイスを廃棄する必要はありませんでした。攻撃者は安全でないHTTP接続を利用してデバイスのパスワードを更新したため、ITチームはそれを傍受し、侵害されたIoT機器の制御を取り戻すことができました。
学んだ教訓
この事件の後、IT チームは犯したミスについていくつかの教訓を学び、今後はこのようなミスを繰り返さないことを望んでいます。
ネットワークを分離しておく
大学の最大のミスの一つは、安全でないデバイスをすべて単一のネットワーク上に置いたことでした。これにより、そのネットワークにアクセスできるすべてのユーザーからの攻撃に対して脆弱になりました。複数のネットワークを構築していれば、すべてのデバイスへの侵入はより困難になっていた可能性があります。(ただし、少なくともIoTデバイスは他のネットワークから分離されていたようで、これにより攻撃が他のシステムに及ぼした可能性のある影響は軽減されたと考えられます。)
「すべての卵を一つのバスケットに入れないで、IoTシステム用に別のネットワークゾーンを作成し、可能な場合は他の重要なネットワークから隔離してください」と大学のITチームは警告した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
複数のネットワークを構築すれば万能というわけではありません。最終的には、すべてのデバイスが安全であることを確認することが最善です。
直接インターネット接続なし
もう一つの簡単に回避できる問題は、これらのデバイスすべてが直接インターネットに接続されていたという事実です。これはすべてのIoTデバイスにとって良い考えとは言えません。特にインターネット接続が厳密に必要でない場合はなおさらです。なぜなら、デバイスをインターネットに接続すると、世界中のどこからでも攻撃を受ける可能性があるからです。ローカルで管理できるデバイスはローカルで管理するべきです。このシンプルな原則は、IoT製品に対する多くの潜在的な攻撃を防ぐのに役立つでしょう。
「インターネットへの直接の入口または出口接続を許可しないでください。インライン プロキシまたはコンテンツ フィルタリング システムの重要性を忘れないでください」と IT チームは述べています。
デフォルトの資格情報を変更する
ほとんどのIoTデバイスはデフォルトの認証情報で提供されており、ユーザーに新しい認証情報の設定を求めません。これは重大な誤りです。なぜなら、大学などの独自のITチームを持つ機関でさえ、ほとんどのデバイスをデフォルトのパスワードのまま放置してしまう可能性があるからです。
「デバイスのデフォルトの認証情報を変更し、デバイスのアカウントとWi-Fiネットワークに強力で固有のパスワードを使用してください」と大学のITチームは推奨した。
これは、IoTデバイスの顧客だけに課すにはあまりにも大きなセキュリティ責任です。ユーザーに元のパスワードの変更を求めるなど、ユーザーインターフェースを少し変更するだけで解決できるかもしれません。しかし、認証情報を変更しなかったことに対する責任は、顧客自身にも負わなければなりません。
大学のITチームが認証情報を変更していれば、このボットネットによる乗っ取りはおそらく避けられたでしょう。しかしながら、多くの顧客がこのようなミスを犯しやすいという問題は依然として残っており、この種の脆弱性を修正するのはメーカーの責任です。
イベントの監視/安全でない機能の無効化
ユニバーサルプラグアンドプレイ(UPnP)やリアルタイムストリーミングプロトコル(RTSP)などの安全でない接続は無効にする必要があります。また、ネットワークトラフィックを監視し、システム内の脅威やその他の脆弱性についても確認する必要があります。
常に更新
IoTセキュリティの問題の多くは、定期的なソフトウェアアップデートで解決される傾向があります。大学のITチームは、管理者に対し、メーカーのウェブサイトで新しいパッチがないか常に確認するよう推奨しています。しかし、重要なセキュリティ修正プログラムはリリース時に自動的にインストールされることが望ましいでしょう。また、ソフトウェアアップデートのリリース頻度を上げることも有効です。ほとんどのIoTデバイスは年に数回しかアップデートされず、メーカーはわずか数年でサポートを終了してしまうからです。
IoTデバイスのセキュリティ確保が重要になる
IoTデバイスのセキュリティ強化は明らかです。しかし、メーカーとその顧客にセキュリティへの関心をどう促すかは、まだ明確ではありません。基本的なセキュリティ規制、セキュリティ評価システム、そして強制的なリコールなどが役立つ可能性はありますが、これらは必ずしも解決策になるわけではありません。可能な限り低価格で多くの技術を製品に詰め込もうとするメーカー、そしてその製品を購入する人々は、依然としてセキュリティを後回しにしている可能性があります。
この問題は、スマートだが安全性に欠けるデバイスが普及し、より重要なインフラにまで浸透する前に対処する必要があります。自動運転車、心拍モニター、交通管理システムなどにも同様の脆弱性が潜んでおり、大学の学生やITスタッフに不便をかけるだけでなく、人命を危険にさらす可能性があります。
