上院サイバーセキュリティ議員連盟の共同設立者であり、上院情報特別委員会の委員でもあるバージニア州選出のマーク・ワーナー上院議員(民主党)は、3つの政府機関(FTC、FCC、DHS)に書簡を送り、最近のIoT DDoS攻撃やその他の関連する脅威に対して何ができるかを尋ねた。
DoS攻撃が急速に強化される
最近のテラビット/秒 (Tbps) の帯域幅制限を超えた大規模な DDoS 攻撃からもわかるように、DDoS 攻撃はインターネット サービス企業、そしてインターネットのインフラストラクチャ全般にとってますます大きなリスクになりつつあります。
「多くの新しいインターネット接続型消費者向けデバイスのセキュリティが脆弱であることは、攻撃者にとって魅力的な標的となっている。攻撃者は、プライバシーやセキュリティ対策がほとんど講じられていない数百万台のデバイスの帯域幅と処理能力を悪用し、膨大な量のトラフィックでインターネットサイトやサーバーを圧倒するだろう」と、ワーナー上院議員は自身の上院議員ページに掲載した記事で述べた。「私は、アメリカの消費者、メーカー、小売業者、インターネットサイト、そしてサービスプロバイダーをより良く保護するための、新しく改良されたツールに関する幅広い専門家の意見と有意義な行動に関心を持っている」と付け加えた。
状況は改善される前に、さらに悪化する可能性が高いでしょう。なぜなら、IoTメーカーのほとんどが自社デバイスのセキュリティをより真剣に考えるようになるまでには、まだ数年かかると思われるからです。メーカーは、新たなレベルのセキュリティを支えるために必要なインフラを構築する必要があります。
一方で、多くの安全でないIoTデバイスが消費者向けに市場に投入され、より強力なDDoS攻撃の可能性が拡大し続けています。革新的なDDoS増幅技術の登場により、これらの攻撃は少なくとも1桁以上強力になる可能性があります。
過去数回の大規模DDoS攻撃で使用されたボットネットソフトウェアは、「Mirai」という名前でオープンソース化されており、悪意のある攻撃者がボットネットを使用したり、独自のフォークバージョンを作成したりすることがさらに容易になることを意味します。
米国コンピュータ緊急事態対策チーム(US-CERT)は、Miraiに類似し、脆弱なIoTデバイスに感染する新たなマルウェアファミリーを既に特定しているようです。これは、今後、より効果的で回復力の高いボットネットがさらに発展していく可能性を示唆しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
IoTセキュリティ、「コモンズの悲劇」
インターネットのレジリエンス(回復力)の見通しがこれほど厳しい状況にある今、IoTセキュリティの基準を定めるための政府介入が差し迫っているように思われます。欧州連合(EU)は既に、消費者が少なくともどの製品がより安全であるかを知る機会を提供するラベル/評価システムの導入を検討しています。
しかし、これはおそらく不十分な解決策となるでしょう。なぜなら、人々がスマートコーヒーメーカーやスマート冷蔵庫を購入するときに、まず考えるのは、DDoS 攻撃を行うボットネットによる乗っ取りから保護する必要があるということではないからです。
IoTデバイスを購入した個人消費者は、通常、DDoS攻撃の直接的な影響を受けることはありません。ボットネットがDDoS攻撃の標的にパッケージを送信する際に、デバイスが多少多くのデータをアップロードする可能性がありますが、それ以外は通常通り動作する可能性があります。
したがって、市場で販売されているほとんどのIoTデバイスのセキュリティ確保は、消費者だけに頼るべきではありません。ボットネットによるデバイス乗っ取りの被害を最も受けるのは消費者ではないため、消費者自身はメーカーに対し、デバイスのセキュリティ確保について十分な圧力をかけることができないでしょう。
マーク・ワーナー上院議員はこれを「コモンズの悲劇」と呼んだ。これは、個人が私利私欲のために行動し、公共の利益を損ねる状況に関する経済理論である。
「今日、メーカーは安価で安全性の低いデバイスを市場に氾濫させており、セキュリティを考慮して製品を設計したり、継続的なサポートを提供したりするための市場インセンティブはほとんどない」と、ワーナー上院議員は3つの連邦機関への書簡で述べた。「そして、購入者は、明確な基準が存在しないこともあり、競合するセキュリティ機能に基づいて製品間で十分な情報に基づいた決定を下すことができないようだ。これらの安全性の低いIoTデバイスのメーカーは、現在、標準要件、市場のフィードバック、責任問題などから隔離されているため、インターネットの継続的な機能に対する『コモンズの悲劇』の脅威を目撃しているのではないかと深く懸念している。なぜなら、すべてのインターネットユーザーにとって極めて重要なセキュリティが、誰の責任でもないからだ。さらに、購入者は最善の努力を払ったにもかかわらず、セキュリティ上の欠陥が発生した場合、ほとんど救済措置がないのだ」とワーナー議員は書簡の中で付け加えた。
ISPレベルの「ゾンビ」IoTデバイスのブロック
ワーナー上院議員は、FCCのオープンインターネット規則では、ISPが「無害な」デバイスを自社のネットワークからブロックすることは許可されていないことにも言及しました。しかし、DDoS攻撃に参加している感染したIoTデバイス(いわゆる「ゾンビ」デバイス)など、有害なデバイスはブロックできるはずです。
このような措置は、ますます大規模化し、急速に進化するDDoS問題に対する潜在的な解決策となる可能性があります。ISPが迅速に対応できればDDoS攻撃を阻止できるだけでなく、IoTデバイスがインターネットを利用できなくなることで、IoTメーカーのイメージ(ひいては売上)に悪影響を与える可能性があります。
消費者が、あるメーカーから購入したデバイスが、DDoS攻撃を行うボットネットに乗っ取られるセキュリティ上の脆弱性を抱えていたためにインターネットに接続できなくなったと知った場合、次回同様の製品を購入する際には、より安全な別のブランドを選ぶかもしれません。IoTデバイス向けの適切なセキュリティ評価システムも、まさにこの点において歓迎されるでしょう。
こうしたイメージダウンや将来の売上への潜在的なダメージは、IoTメーカーがデバイスのセキュリティに多額の投資を迫られる動機となる可能性があります。政府によるリコールは、同様の効果を持つ、より厳格な代替策となる可能性があります。しかし、IoTデバイスメーカーは、この莫大な費用がかかる事態を回避するために、必要なあらゆる措置を講じることに同意する可能性が高いでしょう。
検閲、恐喝、経済活動の妨害の防止
これらのソリューションは、悪用やその他の問題が発生する可能性があるため、理想的ではありません。また、DDoS攻撃に対処するための唯一のソリューションでもありません。しかし、近い将来、被害をもたらすDDoS攻撃を阻止し、新しいIoTデバイスのセキュリティを強化する上で、最も効果的なソリューションとなる可能性があります。
大規模なDDoS攻撃は、RedditやTwitterなどのサイトに対する検閲手段として利用される可能性がありますが、PayPalなどの金融サービスサイト、あるいは政府サービス、その他のウェブサイトを標的として恐喝目的で使用される可能性もあります。だからこそ、IoTデバイスの顧客は、デバイスが正常に動作し、必要な機能がすべて備わっているかどうかを主に重視するかもしれませんが、メーカーにセキュリティ強化を迫るのは彼らだけではないはずです。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
