モノのインターネット (IoT) は、AIなどのインターネット対応テクノロジーの使用により、さまざまなデバイスがインテリジェント化されるようになっている成長産業分野です。単純なデータロガーとして始まったものが、環境を変更したり、安全システムを監視したり、セキュリティ対策を提供したり、さらには朝のトーストを焼いたりできるデバイスに成長しました。
デバイスにインターネット接続を導入すると、新しいファームウェアをリモートで更新したり、遠隔地へのアクセスを提供したり、監視操作を実行したりする機能など、デバイスの機能が大幅に向上します。しかし、特に世界を変えた特徴の1つは、IoTシステムによって提供される膨大な量のデータと、その結果生成されたAIアルゴリズムです。AIアルゴリズムが効果を発揮するには、学習するための大量のデータが必要ですが、それを入手するのは実際にはかなり難しい場合があります。しかし、世界中の何十億ものIoTデバイスにより、人工知能 (AI) プログラムは大量のデータにアクセスし、それを自ら改善できるようになりました。その結果、Amazon Alexaや Google Assistに搭載されているような非常に効果的な音声認識システムが誕生しました。
問題の始まり
当初、IoTデバイスは温度、湿度、圧力などの単純なデータセットを収集しており、データロギング アプリケーションとしては斬新なものでした。市場に出回っているデバイスの数が少なく、収集されるデータが比較的機密性が低いことから、設計者は製品のセキュリティにほとんど関心がありませんでした。珍しくない典型的な慣行としては、暗号化されていない通信、デフォルトのパスワード、プログラミング ポートを備えた既製のハードウェアなどがありました。
設計者は、デバイスの全体的な性質ではなく、デバイスを個別に検討していたため、問題が始まりました。温度ロガーなどのIoTデバイスは、それ自体では重要性が低く、インターネット機能も限られているように見えるかもしれません。しかし、コンピューターやラップトップなどの大型の計算デバイスとは異なり、IoTデバイスは規模を考慮して設計されているため、現在世界中に存在すると推定される200億を超えるIoTデバイスによって証明されているように、比較的簡単に製造および配布しながら、同じデバイスを何千台も存在させることができます。その結果、市場には攻撃を受けやすいデバイス(セキュリティ対策が不十分であると仮定)が数多く存在するだけでなく、同じ欠陥を抱えているため、すべて簡単に攻撃を受けてしまうことになります。
しかし、問題はこれだけではありません。収集されるデータの性質はより機密性が高くなり、録音された音声、カメラの画像、銀行の詳細などが含まれるようになりました。設計者が単純なIoTデバイスからより複雑なデバイスに移行するにつれて、デバイスのセキュリティや潜在的な用途については十分に考慮されなくなりました。さらに悪いことに、移行期間中はハードウェア セキュリティさえも事実上存在せず、潜在的に機密性の高いデバイスが安全でないプラットフォーム上で開発されていました。
IoTの悪用方法
IoTデバイスは、攻撃者によってさまざまな方法で悪用される可能性があります。ただし、最も一般的な3つの不正使用の種類は、暗号通貨のマイニング、DDoS攻撃、およびネットワークへの侵入です。
暗号通貨への関心が高まるにつれ、データセンターではビットコインなどの通貨をマイニングするためにハッシュアルゴリズムを実行するようになりました。このデータの処理には非常に多くのエネルギーが必要になるため、現代のマイナーのほとんどはデータセンターに設置されています。しかし、IoTデバイスは単体では暗号通貨のマイニングには効果がありませんが、大規模な集合体 (10,000台など) を使用すると、それらの総合的な計算能力によって突然収益を生み出す能力が得られます。ユーザーデータが盗まれたり、デバイスがサーバーを攻撃するために使用されたりしていないため、これ自体は悪意のある攻撃ではありませんが、迷惑です。運が良ければ、被害者のデバイスはコンピュータのパワーの一部だけをそのタスクに割り当てているかもしれないが、理論上は、攻撃者が独自のマイニングファームウェアをアップロードして、デバイスを動作不能にすることができる。デバイスは、元の機能と同時にマイニングタスクを実行することもできますが、これにより電力消費が増大します。
DDoS攻撃は本質的に非常に悪質であり、基本的に接続要求によってサーバーに過負荷をかけ、サーバーが提供するサービスが動作不能に陥る原因となります。これらの攻撃は単一のマシンを使用して実行するのは難しいですが、数百台のマシンが連携して実行されると、はるかに効果的になります。これはIoTデバイスが直面する最大の問題の1つです。DDoS攻撃の個々のクライアントには実際のデータ処理能力は必要なく、インターネット接続を介してデータを送信できればよいからです。したがって、何千もの脆弱なIoTデバイスを組み合わせると、潜在的に強力なDDoS攻撃力が形成されます。
ネットワーク エントリ攻撃は、IoTデバイスの機能に依存するのではなく、デバイス固有の弱点を悪用してネットワークにアクセスします。ネットワーク エンジニアは、不正アクセスを防ぐためにネットワーク上に非常に強力なセキュリティ プロトコルを導入できますが、基本的に、ネットワークの強度は最も弱いリンクの強度と同じになります。安全なネットワークに接続されたIoTデバイスは、ローカル サーバーに接続する場合は、そのネットワークの資格情報に加えて、IPアドレス、ユーザー名、パスワードも保持する必要があります。設計が不十分なデバイスではネットワークが完全に無防備な状態になる可能性があり、攻撃者がこの情報を入手して自分のデバイスをネットワークに接続したり、IoTデバイスを乗っ取ってインターネットへのゲートウェイとして使用したりする可能性があります。
攻撃例
IoTデバイスに対するサイバー攻撃は単なる理論ではなく日常的に発生しており、その増加はセキュリティの実装が不十分なことが原因です。以下は、IoT設計の現在の弱点を示す大規模で危険な攻撃の3つの例です。
カジノ温度計
前述のように、ハッカーは安全でないデバイスを利用してネットワークにアクセスする可能性があります。これは、名前が明かされていないカジノで実際に起こったことです。ネットワーク自体は安全でしたが、水槽には水温が変動した場合にスタッフに警告するIoT温度計が設置されていました (外来魚は厳しい環境要件を持つことが多い)。しかし、体温計自体は適切に保護されていなかったため、結果として攻撃者の標的となってしまいました。デバイスへのアクセスが成功すると、ネットワーク全体にアクセスし、データベースから大金持ちの個人情報を取得し、それを温度計経由でクラウドに再アップロードすることができました。
Miraiマルウェア
Miraiマルウェアは、インターネットをスキャンして他のIoTデバイスを探し、「admin」や「password」などのデフォルトのパスワードを使用して侵入を試みるIoTワームです。市場に出回っている多くのIoTデバイスはデフォルトの認証情報を使用しており、変更されることはほとんどないため、このワームは最大100,000台のデバイスに自分自身を複製することができました。ワームがIoTデバイスにインストールされると、そのデバイスはDDoS攻撃に使用されるボットに変わります。これはまさに、2016年に2つのWebサービスが攻撃されたときに起こったことです。最初に標的となったのはフランスを拠点とするホスティングサービス「OVH」で、2番目は「DynDNS」だった。その結果、攻撃の威力は1 Tbpsを超え、両方のサービスが数時間にわたって中断されました。
ハッキングされたジープSUV
犯罪行為ではないものの(デモンストレーションとして行われたもの)、2人のセキュリティ専門家がSUVをハッキングし、運転中のハンドルをコントロールすることに成功した。この攻撃自体が、いわゆる「ランダム」なパスワードの生成でさえも時には欠陥がある可能性があること、そしてセキュリティ専門家がエンジニアに対し、そのようなパスワード生成に社内ソリューションを使用しないよう推奨することが多い理由を実証しています。ジープのマルチメディア センターでは、Wi-Fi機能を別個のサブスクリプションとして提供していますが、そのパスワードは製造工場で生成されます。Wi-Fiシステムのパスワードは、工場で車両を初めてオンにしたときに自動生成され、車両が製造されマルチメディア システムがインストールされた時刻が使用されます。表面的には、これによって生成できる組み合わせの数は総当たり攻撃で可能な数をはるかに上回りますが、攻撃者は組み合わせの数を大幅に削減することができました。
組み合わせの数を減らすための最初のステップは、車両が製造された年(ナンバープレートに反映されています)を把握することです。年がわかれば、組み合わせの数は1,500万通りまで減ります。2番目のステップは、自動車が製造された時刻を特定することです。正しく特定できれば、わずか1時間でブルート フォース攻撃できる組み合わせは700万通りしかありません。攻撃者は、Wi-Fi経由で侵入し、CANバスにアクセスしてブレーキやステアリングホイールに干渉することができた。
反応
こうした継続的な攻撃と産業の変化の欠如は、行政機関と国民の両方から否定的な反発を招いている。規制は重要である一方で、設計者ができることとできないことを制限するため、技術の進歩を妨げる可能性があり、IoT業界ではすぐに規制が導入され始めるでしょう。カリフォルニア州はその一例であり、市場にリリースされるIoTデバイスにデフォルトのユーザー名とパスワードが設定されないようにし、ユーザーが初めてデバイスを使用するときに新しいパスワードを生成するようにする規制を導入しています。英国は現在、共通のパスワードが使用され、すべての接続が業界で認められた暗号化方式を使用して保護されることを保証するために、IoTデバイスの行動規範を導入するプロセスを進めています。
安全でないIoTデバイスやデータ収集の使用に対する一般の反応により、プライバシーに対する圧力が高まっています。IoTデバイスはAIシステムのトレーニングや顧客体験の向上に役立ちますが、攻撃を受けてネットワークに不正に侵入したり、居住者をスパイしたり、機密情報を盗んだりするために使用される可能性があるデバイスに不安を感じる人も多くいます。データ収集が困難になると、AIアルゴリズムを改良するために必要なデータが限られるため、AI技術の開発に時間がかかる可能性があります。
前進する
ネットワークやインターネット全体に非常に深刻な脅威が存在するため、設計者はIoTセキュリティを真剣に受け止め始める必要があることは明らかです。設計者にとって幸運なことに、悪意のあるコードの実行を防ぐことができるセキュア ブートなどのハードウェア セキュリティ機能を備えた半導体メーカーが増えています。しかし、セキュリティは外部センサーやメモリICにも存在するため、多くの場合、設計者は、設計者にとって安全なIoTエコシステムの構築を目的としたセキュリティ ソリューションを提供する Arrowなどのコンポーネント部品サプライヤーに相談することができます。 そのフレームワークには、安全なパートナーの特定、使用するプロトコル、データの分析方法、展開されたデバイスのメンテナンスなどが含まれます。
結論
本質的に単純で、機密性のないデータを収集する最初のIoTデバイスを設計者が見て、無害であると考えたのも理解できます。しかし、彼らは全体像を把握しておらず、世界は安全でないデバイスのこのような大規模な流入に備えていなかったのです。そして、エンジニアが十分迅速に対応しなかったため、責任は現在、技術の進歩を妨げるだけでなく、コンプライアンスを複雑かつ高価にする可能性のある官僚主義を導入する可能性のある管理機関にかかっています。
エンジニアは法律や規制を無視し、顧客に知られずに収集した情報はすべて慎重に保護する道徳的義務を負っています。このため、Arrowのような産業パートナーや専門家を活用することで、製品を大幅に改善できるだけでなく、製品があらゆる要件に準拠していることも保証できます。
