サイバーセキュリティシンクタンクである重要インフラ技術研究所(ICIT)は、新たな論文を発表し、将来のIoTデバイスは設計段階からセキュリティを担保する必要があり、最低限のセキュリティ基準を定める規制も必要だと主張した。もしそれが実現しなければ、安全対策が不十分なIoTデバイスやバックドアを備えたデバイスは、敵対国同士が互いに使用する強力な武器へと変貌する可能性があると警告した。
Mirai、大規模DDoS攻撃の始まり
オープンソースの Mirai ボットネット ソフトウェアがインターネットに公開されて以来、主要な Web サイトをダウンさせたり、少なくともサービスに深刻な混乱を引き起こしたりする強力な分散型サービス拒否 (DDoS) 攻撃が見られるようになりました。
攻撃は主に、セキュリティ対策が不十分なIoT(モノのインターネット)デバイスによって実行されました。これらのデバイスはセキュリティを考慮して設計されていないことが多く、バックドアやハードコードされた認証情報が搭載されている場合もあります。これにより、攻撃者は数百万台ものデバイスへの容易な侵入経路を見つけ出し、乗っ取ることができます。
しかし、これらすべてにもかかわらず、多くの専門家はMiraiはまだ始まりに過ぎないと考えているようです。今後10年間で数十億台のIoTデバイスがオンラインになると予測されており、桁違いに強力な攻撃が想定されます。そうなれば、安全対策が不十分な、あるいはバックドアが仕込まれたIoTデバイスは、少数の大企業や組織だけでなく、国家全体にとって脅威となるでしょう。大規模なDDoS攻撃によって、重要インフラが停止し、混乱を引き起こす可能性もあるのです。
ICITのメンバーであるジェームズ・スコット氏とドリュー・スパニエル氏が執筆した「マシンの台頭:Dyn攻撃は単なる予行演習だった」(pdf)という報告書の中で、著者らは、将来、中国やその他の国が安全でない、あるいはバックドアが仕込まれたIoTデバイスを兵器化し、ライバルに対して使用する可能性があると警告している。
もしそれが事実であり、少なくとも私たちがその方向に向かっているように見えるならば、すべての国の政府は、安全でない IoT デバイス、または出荷時にバックドアが仕掛けられており、後で誰でも悪用できるデバイスが、深刻な国家安全保障上のリスクとなることを認識する必要があります。
IoT デバイスを「設計段階からセキュアに」する
論文の大部分において、著者らは「セキュリティ・バイ・デザイン」を採用したIoTデバイスの必要性を主張しています。これはつまり、メーカーはIoTデバイスをセキュリティ第一の考え方に基づいて開発する必要があることを意味します。すべてのコードは、後々セキュリティ上の脆弱性を過度に引き起こさないような方法で記述する必要があり、また、複数のエクスプロイト対策を導入する必要があります。これらにより、メーカーはシステムへのパッチ適用、さらにはリコールや訴訟にかかる費用をある程度節約できるはずです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ICITの著者らは、現状ではIoTデバイスの購入者も販売者も、セキュリティの不備によりボットネットに乗っ取られたデバイスが引き起こす損害について、一切の責任を感じていないと述べています。購入者はDDoS攻撃がデバイスに深刻な影響を与えないため、気にしておらず、販売者は旧製品のパッチ適用に投資する代わりに、単に新バージョンの販売に移行しているだけです。
著名なセキュリティ専門家であるブルース・シュナイアー氏は最近、IoTデバイスのセキュリティの欠如は、誰もが影響を受ける目に見えない汚染と捉えるべきだと主張しました。したがって、汚染と同様に、環境を汚染する企業に対する何らかの政府規制こそが唯一の解決策です。
ICITの著者らもシュナイアー氏の見解に賛同しており、政府はIoTメーカーに対し、何らかの問題が発生した場合の責任に加え、最低限のセキュリティ基準を課すべきだと主張している。また、安全対策が不十分なIoTデバイスからのDDoS攻撃を受けた企業は、当該デバイスのメーカーを訴える権利も持つべきだ。
著者らはまた、規制はイノベーションを過度に阻害しないよう責任ある形で行われるべきだと述べた。医療業界など他の業界と同様のセキュリティ基準に従うこと、そしてNISTやその他の関連機関が推奨するセキュリティのベストプラクティスに従うことを提案した。
バックドアも絶対に避けるべきです。著者らは、バックドアによって得られる利益は、国家が将来、同じバックドアを利用して国家インフラを攻撃し、様々な重要サービスを機能不全に陥れる可能性に比べれば、桁違いに大きいと述べています。その間にも、バックドアは他の多くの「悪者」によって発見され、悪意ある目的のために利用されるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
