IoTセキュリティとは？その仕組みと事例、課題と対策

IoT（Internet of Things）セキュリティとは、ホームオートメーション、SCADAマシン、セキュリティカメラなど、クラウドに直接接続されたデバイスの安全対策と保護を行うものです。IoT技術は、ガジェットにおける自動的なクラウド接続に基づき、モバイル機器（スマートフォンやタブレットなど）の技術とは区別されます。IoTのセキュリティには、データ保護とサイバーセキュリティのために、従来は貧弱だったデバイスを保護することが含まれます。最近のデータ流出事件から、IoTセキュリティはほとんどのメーカーや開発者にとって優先されるべきものであると認識されています。

IoT機器とは、クラウドに接続し、データを収集するものを指します。鍵、ガレージドアオープナー、温度モニター（Google Nestなど）、冷蔵庫、防犯カメラ、オーブン、テレビ、その他クラウドに接続するあらゆるガジェットが該当します。最新の倉庫用機械の多くもクラウドに接続しています。これらのデバイスは、標準的なオペレーティングシステムと独自のサイバーセキュリティ標準を持つモバイルデバイスとは見なされないことに注意してください。IoTデバイスは、OS、通常はLinuxを使用しますが、完全なソフトウェアの修正版です。

IoTデバイスは、標準的なモバイルデバイスとは異なる動作をするため、その動作方法に応じて独自のサイバーセキュリティルールが必要となります。iOSやAndroidのようなモバイル機器に備わっているセキュリティルールの利点はありません。IoTが普及し始めた頃、これらのデバイスに対して、いくつかのデータ漏洩や悲惨な攻撃が行われました。今日でも、IoTのセキュリティは、多くの開発者やメーカーにとって課題となっています。

IoTセキュリティには、ローカルデバイスからクラウドに転送されるデータを保護することが含まれます。また、デバイスそのものが危険にさらされないように保護することも重要です。IoTデバイスのデフォルトパスワードをユーザーが変更することはほとんどないため、Miraiというマルウェアが大きな脅威となっています。Miraiは、デフォルトパスワードがまだ有効でLinuxを実行しているIoTデバイスをターゲットにし、ボットネットの一部にします。このボットネットは、ターゲットに対して分散型サービス拒否（DDoS）を仕掛けるために使用されます。デフォルトのパスワードを変更し、Telnetサービスをブロックするだけで、IoTデバイスに対するMiraiのブルートフォース攻撃を停止することができます。

IoT機器はクラウドと通信するため、セキュリティには転送されたデータとその保存場所を保護することも必要です。クラウドには無数のデータが保存されており、攻撃者がユーザーのアカウントを侵害すれば、個人情報の盗難やプライバシーの侵害に利用される可能性があります。多くのウェブサイト所有者はデータ転送にSSL/TLSを使用して作業しますが、IoTデバイスメーカーは暗号化せずにクラウド接続されたデバイスを転送することが確認されています。

また、認証の問題もIoTセキュリティを悩ませています。最も顕著なのは、子供のおもちゃに見られる認証の欠落や認証の破損です。子供のおもちゃのデータ漏洩により、攻撃者はおもちゃの動作や子供の個人情報にアクセスできるようになる可能性があります。より良い認証ツールとブルートフォースパスワード攻撃からの保護は、攻撃者がこれらの情報を取得するのを阻止します。

IoTセキュリティの仕組みは一つではありませんが、セキュリティを考慮したコーディングの適切な方法について開発者やメーカーを教育し、クラウド活動により良い保護を配置することが、サイバーセキュリティ専門家の目標となっています。IoTセキュリティには、クラウド上を移動するデータの暗号化、より優れたパスワード管理、攻撃者が制御するスキャナーやツールから保護するIoTアクションのコーディングなどが含まれます。標準規格がないため、IoTのセキュリティは、デバイスを所有するユーザーと、デバイスを一般に公開するメーカーや開発者の手に委ねられています。

IoTメーカーは、機器の安全性を高めるための対策を講じる必要がありますが、IoTセキュリティの課題の多くは、ユーザーとの対話と教育です。ユーザーは、デバイスをインストールする際にデフォルトのパスワードを変更する必要がありますが、多くの人はその危険性を知らないか、デフォルトのパスワードを使用する利便性を好みます。メーカーはデフォルトのパスワードを変更するようユーザーを教育する必要がありますが、変更を強制することはできませんし、ビジネスを失うリスクもあります。

もう一つの問題は、アップデートの欠如です。メーカーがバグや脆弱性を管理するためにいくつかのアップデートを用意していたとしても、ユーザーがそれをインストールしなければなりません。もしユーザーがファームウェアをアップデートしなければ、数ヶ月の間、デバイスはいくつかの攻撃に対して脆弱なままとなる可能性があります。ユーザーは通常、一貫してアップデートを検索しないため、ファームウェアのアップデートが存在することも知らない場合があります。

モバイルデバイス、デスクトップ、Webアプリケーションにはサイバーセキュリティの標準が定義されていますが、IoTセキュリティには標準が存在しません。IoTセキュリティはサイバーセキュリティの無法地帯であり、アプリケーションにセキュリティを適切にコーディングすることは開発者に委ねられているのです。このため、IoTデバイスのサイバーセキュリティ保護には欠陥があります。メーカーは独自の基準を設けていますが、これらの基準は高度な攻撃から保護するには十分ではありません。

ほとんどのユーザーと開発者は、IoTデバイスを攻撃対象として見ていないため、製品開発中にサイバーセキュリティのベストプラクティスをスキップしてしまうことが多いのです。安全でないコーディングに加え、IoTメーカーはデバイスの脆弱性とエクスプロイトのペネトレーションテストを常に行っているわけではありません。ウェブやモバイル機器では、ハッカーにバグバウンティを提供して攻撃者よりも先に問題を発見させたり、ペネトレーションテスターに報酬を支払ってソフトウェアのリリース前にバグを発見させたりすることが標準となっています。

ユーザーとメーカーは、IoTのセキュリティを向上させるためにいくつかのステップを踏むことができます。ほとんどのサイバーセキュリティはユーザーの行動に依存しており、それがこの業界でサイバーセキュリティが弱い理由です。ユーザー教育は、IoTセキュリティに関連する多くの問題を軽減するのに役立ちますが、メーカーもユーザーアカウントやデバイスへの攻撃を阻止するのに役立つ方法を持っています。

ここでは、攻撃者を阻止するために利用できるIoTのセキュリティ対策をいくつか紹介します。

• 端末のパスワードは設定時に必ず変更する： 攻撃者はパスワードのリストを使用して、端末へのブルートフォースアクセスを試みるため、複数のウェブサイトや端末でパスワードを使いまわさないこと。また、強力なパスワードも必要です。パスワードに "password "を使用すると、攻撃者は辞書攻撃を使用してブルートフォース（総当り）攻撃を容易に行うことができます。
• IoTデバイスにスマートフォンのアプリがある場合、アプリが求める操作の許可に注意する： AndroidとiOSでは、アプリがスマートフォンのリソースに許可を求める必要があります。例えば、アプリが連絡先へのアクセスを要求した場合、アプリが連絡先のスナップショットを撮影する可能性があります。必要ない場合はアクセスを拒否してください。
• デバイスにリモートアクセスする際は、VPNを使用して接続する： IoTデバイスには、スマートフォンにインストールできるアプリが付属していることが多く、ユーザーはインターネットからデバイスにアクセスすることができます。しかし、デバイスからクラウドへのデータ転送は、暗号化されていない場合があります。VPNを利用すれば、転送されるデータは常に暗号化され、中間者攻撃を受けることはありません。
• SNS連携に注意する： IoTデバイスのアプリの中には、ソーシャルメディアと連携を促すものがあります。知らず知らずのうちにデータがソーシャルメディアプラットフォームと共有される可能性がある。不要な場合はソーシャルメディアアプリへの接続を制限してください。
• ネットワーク上の不要なポートをブロックする： 攻撃者はスキャナーを使って開いているポートを特定しますが、Telnetポートが開いていることが判明すると、Telnetプロトコルを使った追加攻撃につながる可能性があります。機器に特定のプロトコルをブロックするオプションがある場合は、使用しないもの、不要なものをブロックしてください。
• 定期的にメーカーのサイトをチェックし、アップデートを確認する： ファームウェアのアップデートには、バグやセキュリティの脆弱性を修正するパッチが含まれています。攻撃者は、アップデートで修正された脆弱性を知るとすぐに、それに対するマルウェアやエクスプロイトを設計するため、これらのアップデートはできるだけ早くインストールする必要があります。