Sponsored Contents

securityの最新記事

Image credit:
Save

IoTデバイスのリスクって何? アンチウイルスソフト「アバスト」が指摘するGPSトラッカーの落とし穴

5Gが来る前に考えておきたいセキュリティの話

井上晃(AKIRA INOUE)
2019年9月6日, 午後04:30 in security
38シェア
15
23
0

連載

注目記事

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

Ittousai, 9月20日
View

5Gのプレサービスを目前に控えたいま、IoTへの注目が高まっていますが、ユーザーはデバイスのセキュリティについてどう意識すれば良いのでしょうか。気をつけるべきではありますが、なかなか難しい問題です。そこで今回はアンチウイルスソフト大手・アバスト(Avast Software)のMichal Salat氏にIoTデバイスに関するセキュリティリスクについて話を伺いました。

Gallery: アバストSalat氏がGPSトラッカーの脆弱性を指摘 | 3 Photos

3

そもそもIoTで想定される脅威とは?

IoTデバイスは、ネットワークに接続するため、アタッカーに狙われる可能性があります。アバストのThreat Intelligence Deirectorとして、セキュリティの脅威を未然に防ぐための調査をしているMichal Salat氏は、一般的に想定できるリスクについて、次のように話します。

ITコンシェルジュ
▲アバスト Threat Intelligence DirectorのMichel Salat氏

Salat氏「IoTデバイスには、自宅などのWi-Fiを介して接続するものと、モバイルネットワークを介して接続するものの2種類がありますが、どちらも大抵の場合、ユーザーはクラウドに接続し、ベンダーのサービスにアクセスするでしょう。あるいは直接ベンダーのデバイスにパブリックなIPアドレスを使ってアクセスする形になると思います。

こうしたIoTデバイスでは、デフォルトのパスワードが弱いことがあります。ユーザーがより簡単に使えるように、ベンダーが初期のパスワードをシンプルにして出荷するためです。そして、こういった初期パスワードを変えずに使うユーザーは多いと思います。どうしたら良いかわからないという場合もあるでしょうし、面倒だからという理由の場合もあるでしょう。ここがアタッカーに狙われるのです」


IoTデバイスを狙ったマルウェアの例としては「Mirai」などが挙げられると言います。パスワードが推測できてしまうと、こうしたマルウェアがデバイスに埋め込まれてしまうリスクも生まれるとのこと。

Salat氏「最近は、コストを削減する目的で、ベンダーが様々なフレームワークを使うことが一般的になっていますが、なかには非常に古いものが利用されているケースもあります。15年前くらいのサービスが使われていることもあり、こうしたデバイスでは脆弱性があると言えるでしょう。セキュアシェルや、UPnP、HTTPサーバといったサービスはかなり古いですので、脆弱性が狙われる可能性があります」

モバイルネットワークを利用するデバイスが狙われた場合には、ホームネットワークに接続した全体がコントロールされてしまうことも起こり得ると氏は言います。

Salat氏「キャリアのネットワークやセルラーネットワークを経由するデバイスでは、その特定のデバイスが攻撃の対象となります。そして、例えば、アタッカーのコントロール下にあるデバイスが家のWi-Fiに接続すると、IoTのアプリケーションを通じて、ネットワーク上にあるほかのデバイスとも接続できてしまう。IoTデバイスへの接続には、通常ユーザーネームやパスワードをその都度入れて認証する必要がありません。アタッカーは、ホームネットワーク上のデバイス全てをコントロールできてしまうでしょう」

GPSトラッカーの問題が明らかになった

デフォルトのパスワードの脆弱性が明らかになった事例として、Salat氏は最近の調査で判明したGPSトラッカーのリスクについて教えてくれました。

ITコンシェルジュ

Salat氏「元々、IoTデバイスを全般的にリサーチしていました。多くの人の家にあるルーターやスマートカメラ、ネットワークストレージデバイスなどです。最近はGPSトラッカーの人気も出てきたので、GPSトラッカーはどれくらいのセキュリティが担保されていて、どのくらいネットワークに接続して使われているのかを調べました。

この調査によって明らかになった問題は、デフォルトでアタッカーが想像しやすいIDが使われているケースがあったということです。具体的には、トラッカーの中にあるモデムのIMEI(携帯電話やデータ端末の識別番号)が使われていました。また、デバイスで行うコミュニケーションも暗号化されておらず、プレーンテキストの状態になっていたのです」
​​​​

アバストでは、Shenzhen i365 Tech社のGPSトラッカー「T8 Mini」と同社製の約30機種について、その脆弱性を示唆しているとのこと。同社として実際に被害が発生しているのかどうかは把握していないそうですが、懸念すべきリスクとして下記のような被害などが想定されると言います。
  • GPSトラッカーのマイクを通じた盗聴
  • 子どもの持つGPSトラッカーの位置情報を操作し、保護者をゆする行為

ITコンシェルジュ▲リスクあるGPSトラッカーが取り扱われていた分布


ユーザーはデバイスの説明書を読んでパスワードを必ず変えるべき

では、ユーザーはこうした脅威に対して、どう備えておけばすればよいのでしょうか。Salat氏は、必須の行為を教えてくれました。

Salat氏「私がユーザーにアドバイスしているのは、"パスワードを変えてください"ということです。デフォルトのパスワードはセキュアではありません。また、初期設定時にマニュアルもしっかり読んでいただきたい。大抵の場合、どうやってデバイスをもっとセキュアな状態にすべきか、必要な動作が書いてあるはずです。

なお、我々としてはWi-Fiでホームネットワークに接続されているデバイスを対象としたセキュリティプラットフォーム『Avast Omni』をすでに発表していて、間も無くアメリカから順次提供を開始します。一方で、セルラー回線を利用するデバイスにも、将来的にはキャリアと連携して何かしらのセキュアなサービスを提供できればと考えています。

しかし、世界中のユーザーを守るために我々ができることとしては、啓蒙活動が一番重要だと考えています。シンプルなステップを踏めば、よりセキュアに利用できるのですから━━」



また、​​​​​​同氏はカリフォルニア州のIoTセキュリティ法を例にあげ、ベンダーがセキュリティを担保する仕組みが重要だと話しました。

Salat氏「例えば、カリフォルニア州では、ベンダーがデバイスを販売するときに基本的なレベルのセキィリティをデバイスのなかに組み込まなければいけないというルールがあります。デフォルトパスワードに対する攻撃は頻繁にあるものなので、きちんとした対策が求められます。

我々としても、ベンダーと連携して、デフォルトのセキュアさを担保できるようにしたいと思っています。すべてのデバイスにユニークなパスワードが登録されていたり、あるいはウィザードがデバイスの中に入っていて、ユーザーが最初に接続する際にガイドにしたがって、どういう風にセキュアにするのか、正しいステップを踏めるようにすべきでしょう」


なお、日本では2016年に「IoTセキュリティガイドライン ver1.0」が策定されており、同ガイドラインにおいて、一般利用者は以下のルールを守ることが推奨されています。
​​
  • 問合せ窓口やサポートがない機器やサービスの購入・利用を控える
  • 初期設定に気をつける
  • 使用しなくなった機器については電源を切る
  • 機器を手放す時はデータを消す

今後、活用機会が増えるであろうIoTデバイス——。ユーザーとしても正しい付き合い方を心がけていきましょう。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

関連キーワード: 5g, avast, gps, GpsTracker, http, https, internet, iot, security, upnp
38シェア
15
23
0

Sponsored Contents