研究者はIoTセキュリティについて警鐘を鳴らします
IoTのセキュリティの課題は、メーカーが製品を市場に投入する際に設計によるセキュリティを放棄する方法と大きく関係しています。
モノのインターネットプロジェクトではセキュリティが長い間問題となってきましたが、問題はますます深刻になっています。最新のIBMセキュリティレポートは、記録されたIoTの脆弱性がわずか5年前に報告された数よりも5,400パーセント増加したことを指摘しています。
「IoTデバイスの欠陥とセキュリティホールにより、組織と消費者はインターネットに接続されたものの大きなボットネットに対して脆弱になります」とIBMの研究者は報告しています。彼らは、2016年にさかのぼる脅威の始まりを指摘しています。このとき、「インターネット全体の混乱を引き起こしたMiraiボットネットは、組織がこの種の脅威を認める最初の主要な目覚めの呼びかけでした。それ以来、Miraiのコードの一部を活用するAidra、Wifatch、GafgytなどのMiraiの後継者51と、BCMUPnP_ HunterやToriiボットネットなどの新参者は、分散型サービス拒否(DDoS)を広めるために数十万のデバイスへのアクセスを蓄積しています。 )マルウェア、コインマイニングマルウェア、スパムを攻撃します。」
関連項目: さらに別の消費者向けIoTデバイスに見られる主要なセキュリティの脆弱性
研究者は、「攻撃者は、ルーター、CCTVカメラ、IIoTに接続されたデバイスなどの消費者向けデバイスを標的にし続けると予想しています。
2019年以降に攻撃を実行するためのスマートメーターとグリッド。」彼らが関係する課題は、「メーカーが製品を急いで市場に投入する際に、設計によるセキュリティを放棄することです。攻撃者は、これらの製品を、同じ脆弱性を持つ多数のデバイスを悪用できるお気に入りの標的にします。」また、デバイスの脆弱性を明らかにします。「これらのセキュリティの基本が来年より多くの組織によって優先されない限り、管理者がデフォルトのパスワードを変更し、脆弱なデバイスにパッチを適用することに失敗します。」脆弱性のもう1つの分野は、「高度道路交通システム、災害管理、IIoTなど」のスマートシティテクノロジーです。
別の最近の業界レポートも、IoTデバイスのセキュリティに警鐘を鳴らしています。セキュリティベンダーのKasperskyは、2019年上半期だけでスマートデバイスに対する最大1億500万件の攻撃を検出したことを示しています。同社はハニーポット(インターネットに接続されたさまざまなデバイスやアプリケーションの仮想コピーのデコイネットワーク)を採用しており、この間に276,000の一意のIPアドレスからのIoTデバイスへの攻撃を検出しました。
この数字は、69,000のIPアドレスからの1200万の攻撃が発見された2018年上半期に見つかった数の7倍であるとKasperskyは言います。 「IoT製品の弱いセキュリティを利用して、サイバー犯罪者はIoTボットネットを作成して収益化する試みを強化しています。」
Kasperskyのハニーポットで収集されたデータ分析に基づくと、「IoTデバイスへの攻撃は通常洗練されていませんが、ユーザーがデバイスが悪用されていることに気付かない可能性があるため、ステルスのようです」と同社は報告しています。 「ボットネットは、パッチが適用されていない古い脆弱性をデバイスにすり抜けて制御する可能性があります。もう1つの手法は、パスワードの総当たり攻撃です。」
Kasperskyは、IoT管理者とユーザーが、ファームウェアの更新が利用可能になったらすぐにインストールするように注意することをお勧めします。 「プレインストールされたパスワードは常に変更してください」と研究者は付け加えています。さらに、「デバイスの動作がおかしいと思ったらすぐに再起動してください。既存のマルウェアを取り除くのに役立つかもしれませんが、これは別の感染のリスクを減らすことにはなりません。」
モノのインターネットテクノロジー
- ホームワーカーのIoTセキュリティの課題を乗り越える
- IoTセキュリティ–誰が責任を負いますか?
- モノのインターネットがもたらすセキュリティの課題:パート1
- IoTセキュリティ–導入の障壁?
- IoTデバイスの採用の拡大は最大のサイバーセキュリティリスクです
- IoTとサイバーセキュリティについて知っておくべきこと
- IoTセキュリティ:最近の脅威から学べること
- IoT時代におけるセキュリティ標準と規制の6兆ドルの重要性
- 産業用IoTの保護:セキュリティ上の課題の高まり–パート1
- ネットワーク事業者がIoTセキュリティについて尋ねるべき3つの質問
- IoTデバイスのセキュリティ保証に関する4つのステップガイド