WirelessWire News The Technology and Ecosystem of the IoT.

by Category

IoTは暗黒の未来をもたらすか

IoT to bring dark future?

2015.08.24

Updated by Mayumi Tanimoto on August 24, 2015, 09:22 am UTC

IoTががテック業界における「インフレ」なのかどうかは、今の所わかりませんが、ガートナーが予測するように、生活に着実に侵入してくる技術であることには間違いありません。

6月には、ロンドンで開催されたInfosecurity Europe 2015に参加しましたが、今年最も注目を集めたのはIoTのセキュリティでした。同イベントには毎年参加しているわけですが、IoTがここまで注目を浴びるのは今年が初めてです。しかし、ビジネス系ITのカンファレンスと異なる点は、IoTを絶賛しているわけではなく、暗黒の未来を懸念している人が少なくない、という点です。

infosec_venue_2015

実務で運用、セキュリティ、監査に関わっていれば、「繋がるデバイスが増える」=「エントリポイントが増える」=「対策が大変」=「仕事が増える」と常識的に思いつくわけですが、繋がることが大好きなビジネスサイドにはなかなか伝わりにくいようです。

参加者の多くであるセキュリティ専門家や監査人の多くも、ビジネスサイドとセキュリティ側の温度差を感じているようです。会場で実施されたアンケートによると、270名の参加者のうち、68%がビジネス上の必要性から、脆弱性のあるIoT機器の導入を強制されることがあり、ビジネスは、IoTのリスクを無視している、と答えています。

会場で大人気だったセッションは、電気ポットとWi-Fiカメラのハッキングデモで、立ち見でもブースに入りきれない状況でした。以下はRapid7によるデモですが、同社のセッションも大人気でした。

 

 

IoT_02

 

 

IoT03

 

会場のセッションでは、以下のような懸念が指摘されました

  • 攻撃するための入り口が増えるためリスクが高まる
  • 脆弱性のあるデバイスが市場に出回ることがあるが、ユーザーが脆弱性を認識できない
  • 電気ポット、暖房、スマートメーター、スマート温度計など今まではネットワークに繋がっていなかった機器も家庭に入り込むため管理は煩雑になる

脆弱性のあるデバイスが市場に出回った例では、TRENDnetのSecureViewのケースが有名です。ソフトウェアに重大な脆弱性があり、ユーザーの個人情報がネットにつつ抜け状態であり、第三者が自由に閲覧できる状態だったため、アメリカの連邦取引委員会(FTC)は同社を提訴していますが、規制当局がすべてのデバイスの調査をするのは不可能です。

この件は、ブロガーが脆弱性を指摘したために規制当局が介入しましたが、世の中に出回っているデバイスの数を考えた場合、表面化していないケースがかなりあるでしょう。

電気ポット、暖房、スマートメーター、スマート温度計など一見ネットワークに繋がるデバイスには見えない製品を導入するユーザーの中には、ネットに精通していない人も多いため、第三者により、ユーザーの生活パターンが筒抜になったり、悪用されるケースが出てくるでしょう。現に、プエルトリコでは2009年にスマートメーター経由の電力の窃盗が多数発生し、電力会社がFBIに調査協力を依頼しています。スマートライフルがハックされた場合は、標的以外が射殺される可能性もあります。

Keynoteスピーチや各種セッションでもIoTは大きな注目を集めました。例えば、Keynoteステージで開催されたVulnerabilities, Risks And Threats: Actionable Intelligence for Robust Cyber Defenceというパネルディスカッションでは、最近目立ったセキュリティブリーチが話題になりましたが、ジュネーブ大学のEduardo Solana博士は「セキュリティ研究者の間では、IoTには悲観的な意見ばかりだ。なんでも繋がってしまうため、事故などが起こる可能性が多くなる。例えば、自動車がネットワークに繋がった場合、悪意を持った人間により衝突する可能性がある」と述べています。

IoT_06032015

 

博士の指摘は今年のDefConのデモでも実証されています。今年のBlack Hat conferenceのハイライトは、セキュリティ研究者であるCharlie Miller とChris Valasekによる2015 Jeep Cherokeeとその他の車両のハッキングでした。10マイル先にいるハッカーがワイヤレス接続経由で車両のファームウェアに入り込みハックします。自家用車をネットに繋げたいとか、自動運転の車でバラ色の世界がやってくると考えている方は以下動画を見ることを推奨します。

 

セキュリティ企業であるPlanet ZudaのRyan Satterfield は、Wi-Fi経由でParrot AR.Drone 2.0を乗っ取るデモを公開しました。パスワードが暗号化されていないので、ハックできてしまったわけですが、例えば、個人宅配用の荷物や、放射性物質、神経ガスなどを積み込んだドローンが、なんらかの方法でハックされて墜落する可能性は、絶対にないとは言えません。

Verizonの2015 Data Breach Investigations Reportによれば、現時点で、エンタープライズレベルでIoTの大規模なインシデントは発生していませんが、今後、ネットワークに繋がるデバイスが増えると、どのような状況になるのかは予想がつきません。

 

 

 

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

谷本 真由美(たにもと・まゆみ)

NTTデータ経営研究所にてコンサルティング業務に従事後、イタリアに渡る。ローマの国連食糧農業機関(FAO)にて情報通信官として勤務後、英国にて情報通信コンサルティングに従事。現在ロンドン在住。

RELATED TAG