IoT を制御できなくなる日がやってくる可能性

2023/9/19 - 読み終える時間: ~1 分

Losing Control of Your IoT - A Cautionary Tale の翻訳版です。

IoT を制御できなくなる日がやってくる可能性

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

テクノロジーに非常に精通していると、できるという理由だけで特定の課題に挑戦したくなるものです。 これは、HCLTech の一部門である Aleph Research のセキュリティ専門家 Lev Aronsky 氏と Idan Strovinsky 氏の場合に当てはまり、彼らは Electra Smart エアコン コントローラーのハッキングに着手し、最終的には IoT セキュリティの混乱を暴露することになりました。

私たち皆が学ばなければならなかったように、モノのインターネット (IoT) は、その言葉通り多様で混沌としたものです。 エアコンを含むあらゆる種類のデバイスはネットワークに接続され、アプリを使用して制御できますが、個々のデバイスでいっぱいの家を管理するために各メーカーの個別のアプリを使用するのはおそらくかなり非効率です。 したがって、アロンスキー氏とストロビンスキー氏が説明するように、「私たちの誰かがスマートエアコンコントローラーを備えたアパートに引っ越したとき、それをハッキングして、オープンソースのホームオートメーションソフトウェアであるホームアシスタントと連携させることが最優先されました。」

彼らがハッキングを開始したコントローラーは、専用アプリを使用して Wi-Fi ネットワークに接続し、エアコンユニットを制御します。 彼らの探求の最初のステップは、代わりにローカル ネットワーク経由でアクセスを取得することを目的として、コントローラーとのインターフェイスを可能にする統合とライブラリを探すことでした。 しかし、調査が進むにつれ、コントローラーがリモート サーバーとどのように通信し、コントローラーの動作をどのようにしてユーザーの望み通りに曲げることができるのかを段階的に調べていくうちに、本当に厄介なものを発見したことに気付きました。それは、「明らかなセキュリティ脆弱性の集合体であり、 他の問題の中でも特に、コントローラーのユーザーがインターネットから完全に乗っ取られる危険にさらされました。」

たとえば、自分のエアコンに加えて、IP アドレスや詳細な状態を含む「何百ものエアコン ユニットを確認できる」ポイントが到着しました。 「これは重大なプライバシー問題でしたが、最悪の事態はまだ待っていました。」 追加の調査により、アプリを使用せずにエアコンを制御することに成功しましたが、他のエアコンも同様に制御でき、間違ったパスワードを使用したり、パスワードをまったく使用せずに制御できることもわかりました。 彼らの要約では、「インターネット経由で誰でもアクセスできる MQTT サーバーがあり、ネットワークに接続されている Electra Smart エアコンを制御する権限を与えられた匿名ログインが可能でした。」

彼らが明らかにした新たな恐怖（はい、もっとありました）と、それを修正しようとして彼らが直面した抵抗、どちらがよりひどいのかを知るのは困難です。 しかし、彼らの研究は明らかに、より大きな疑問を示しています。 大小、重要でない、または重大な大小を問わず、発見された種類の脆弱性の影響を受けている IoT デバイスは何台あるでしょうか? そして、彼らを追い出すには何が必要でしょうか？

IoT に関してこれらの疑問が最優先されることはほとんどありませんが、これらの疑問は簡単ではありません。 IoT デバイスのセキュリティの脆弱性は、個人、組織、さらにはインフラストラクチャに重大なリスクをもたらす可能性があります。 これらは、IoT に特有の要因の組み合わせによって発生し、サイバー攻撃の主な標的となります。

• IoT デバイスの処理能力とメモリが限られていると、暗号化が弱く、認証が不十分で、セキュリティ アップデートが不十分になる可能性があります。
• 認証メカニズムとパスワードが弱いと、権限のないユーザーがデバイスやシステムを自由に操作できるようになる可能性があります。
• 市場に急遽投入されたデバイスのファームウェアの設計が不十分で、テストが不十分だとセキュリティ リスクが増大する可能性があり、一方、古いソフトウェアは既知の悪用可能な脆弱性の影響を受けやすくなります。
• IoT デバイスは機密データを収集することがよくあります。 適切に保護されていない場合、この情報は傍受されたり盗まれたりする可能性があり、関係者全員に重大な結果をもたらす可能性があります。
• デバイスとエコシステムの極端な多様性が主な原因で、IoT では標準化されたセキュリティ実践が欠如しているため、一貫したセキュリティ対策を実装することが困難になっています。
• IoT デバイスへの物理的なアクセスも、セキュリティを侵害する可能性があります。たとえば、センサーや接続の改ざんにより、データ操作が可能になったり、デバイスの誤動作が発生したりする可能性があります。
• 暗号化されていない通信、弱いファイアウォール、中間者リスクなど、ネットワーク セキュリティが不十分であると、IoT デバイスがさまざまな脅威にさらされる可能性があります。
• 最後に、IoT デバイスの製造に典型的な複雑なサプライ チェーンでは、ハードウェア コンポーネントからソフトウェアの統合に至るまで、さまざまな段階で脆弱性が発生する可能性があります。

IoT の状況が拡大し続けるにつれて、セキュリティ上の懸念が重要な考慮事項となっており、IoT の脆弱性に関連するリスクを軽減し、より安全で回復力のある IoT エコシステムを構築するには、メーカー、規制当局、サイバーセキュリティの専門家間の協力的な取り組みが不可欠です。 Aleph Research チームのようなグループの活動は、その取り組みへの重要な貢献であり、HCLSoftware が誇りを持ってサポートしているものです。

HCLSoftware は、アプリケーション セキュリティ テスト プラットフォームとソリューションの包括的なスイートである HCL AppScan を含む、業界をリードするエンタープライズ セキュリティ ソフトウェアのプロバイダーです。