IoT デバイスにもれなく付いてくる脆弱性
IoT が急速に発展する中、IoT デバイスに対する攻撃や脅威も勢いを増しています。ビジネス課題を解決し、人々の生活を改善するため、各国の企業は低コストのコネクテッド デバイス(IoT
)を競って導入しています。その裏では、脆弱で保護されていない IoT デバイスをエクスプロイトし、侵害する方法を攻撃者が模索しています。
過去 1 年間だけでも、脆弱な IoT デバイスをボット化して利用する Mirai ボットネットの発生が多数確認されており、歴史上最大の DoS 攻撃がいつ発生しても不思議ではありません。より最近では、数千台規模の感染デバイスを束ねた大規模な IoT ボットネットも増えています。ボットネット内の各デバイスから同時に DoS 攻撃が仕掛けられると、ネットワーク トラフィックの急増によりシステムがダウンするなどの危険性もあります。
シスコのお客様を新たな脅威から守るため、Talos では脅威状況を絶えず調査・監視しています。IoT デバイスの保護が不十分なことについて認知を広め、脆弱性を積極的に発見するよう努めています。つい最近では、家庭用セキュリティ カメラや、セキュリティを強化するために設計されたディズニー ブランドの家庭用 IoT デバイスで発見・修正された脆弱性に加え、IoT システムで使用される組み込みシステム向けソフトウェアに関するレポートなどを公開してきました。
これらの脆弱性の多くは、悪意のあるコンピュータ コードの実行を許し、データを漏えいさせたり、他のシステムに対して攻撃を開始したり、デバイス本体を動作不能にしたりする危険性を含んでいます。保護されていない脆弱なデバイスは、情報漏えいなどの問題だけでなく、攻撃者が意のまま操れるという大きな問題も抱えています。
IoT デバイスで脆弱性を特定した場合は、これまで発見したすべての脆弱性と同様に、責任ある開示方針に沿って Talos からベンダーに通知し、修正プログラムをリリースできるよう開示まで十分な時間を確保しています。ただし IoT の分野で必要な修正プログラムを適用するのは必ずしも容易ではなく、不可能な場合さえあります。そのため Talos から脆弱性を公表する際は、脆弱性のエクスプロイトを検出してブロックできるようオープンソースの Snort シグネチャもリリースしています。
シスコでは IoT 保護スイートを提供しており、侵入防御システム(IPS)ネットワーク セキュリティによる脆弱な IoT デバイスの保護も含まれています。それ以外にも、Cisco Networking Academy を通じてサイバー セキュリティと IoT に関するトレーニング コースを提供しています。これらのプログラムの目的は、現在の技術者のスキル レベルを高め、新規採用を目指す従業員に必要な知識を提供することです。
IoT でセキュリティを担保するには、まず問題を認識する必要があります。つまり、問題とリスク、そして解決策について認識することが問題解決への重要な第一歩となります。Talos では、エクスプロイト可能な IoT デバイスの脆弱性や攻撃手口を特定し、そのメリットを広く提供するよう努めています。
本稿は 2017年11月20日に Talos Group
Tags:
