ネットユーザーやジャーナリストは、犯罪者やスパイが高度なサイバー兵器を使ってIoTデバイスを乗っ取るのではないかと懸念しているが、基本的なセキュリティ保護が軽視されており、はるかに大きな脅威となっている。
インターネットに接続されたデバイス、特に家庭や小規模オフィスにあるデバイスを狙う悪意のある人物は、侵入するためにコードの脆弱性を悪用する特別なエクスプロイトを必要としません。なぜなら、通常はユーザー名とパスワード「admin」で同じことが達成できるからです。
これは、米国のスタンフォード大学、イリノイ大学アーバナ・シャンペーン校、そしてチェコ共和国のアバスト・ソフトウェアの専門家たちの見解です。彼らは、IoTセキュリティには基本的な保護が全く欠如しているため、多くの場合、攻撃者はデバイスやネットワークに侵入するためにマルウェアや複雑なエクスプロイトに頼る必要さえないと結論付けています。
本日オンライン公開に先立ちThe Registerが閲覧した学術調査では、チームは 1,600 万人の Avast 顧客ボランティアのホーム ネットワーク スキャンを通じて 8,300 万台のデバイスからテレメトリを収集し、強力なパスワードやデフォルト以外の認証情報などの基本的なセキュリティ対策がどこにも見当たらないことが判明しました。
例えば、今夏のUsenixセキュリティシンポジウムで正式に発表される予定のこの調査では、調査中に確認されたTP-Linkルーターの30%がローカルネットワーク上でHTTPポートを開いており、デフォルトのadmin/adminユーザー名とパスワードの組み合わせを使用していたことが指摘されています。また、全ルーターの14.6%がFTPまたはTelnetサービスを開いており、その多くが容易に推測できるパスワードを使用していたことも判明しました。
同時に、メディア報道や情報セキュリティ ベンダーのマーケティング宣伝では、安全でない既成の設定やデフォルトのログイン認証情報ではなく、高度なエクスプロイトや隠れたファームウェアの脆弱性が大きな脅威であるという考えが広められています。
「輝かしい功績」
「報道されているのは、誰も持っていないし、誰も気にかけておらず、決して使われることのないデバイスを狙った派手な攻撃だ」と、スタンフォード大学の助教授で報告書の共著者でもあるザキール・デュルメリック氏は述べた。
「これらのルーターの半数に推測可能なパスワードが設定されており、感染したマシンとこれらのデバイスの間にセキュリティ対策がまったく講じられていないという事実に、私たちは恐怖を感じるべきだ。」
エンタープライズIoTセキュリティは非常に厄介であり、IntelとArmが協力して取り組むことになった。
続きを読む
デュルメリック氏はさらに、多くのIoTデバイスが、より安全な通信方法ではなく、FTPやTelnetといった旧式のプロトコルを通信に使い続けていることがさらなる危険をもたらしていると指摘した。こうした接続において脆弱な認証情報が使用されていることも、この状況を悪化させている。例えば、調査対象となったTP-Linkルーターの9.3%はFTPポートをインターネットに開放しており、55%は脆弱なパスワードも使用していた。
「非常に古いプロトコルが復活し、FTPは廃止され、Telnetのような他のプロトコルは間違いなく廃止されました。今では、普通のコンピューターで使用されているプロトコルの方がはるかに安全です」と彼は述べた。
「これらのデバイスにとって、より安全なプロトコルを使用することは優先事項ではありませんでした。」
幸いなことに、デュルメリック氏は、この調査では、この問題への取り組みが見た目ほど難しくないかもしれないという根拠も見出されたと指摘した。まず、市場は少数のベンダーによって支配されており、わずか100社がIoTデバイスの約90%を占めている。特に音声アシスタントボックスのような分野では、わずか2社のベンダー(AmazonとGoogle)が90%を支配している。
つまり、これらのトップレベルのベンダーが行動を改善し、ハードウェアのセキュリティを向上できれば、IoT ハードウェアの大部分のセキュリティが大幅に向上し、保護が強化されることになります。
おそらくその時、私たちは脆弱性の悪用について心配し始めることができるでしょう。®
