消費者向けおよび産業向けを問わず、インターネット接続デバイスの急速な拡大に伴い、サイバー脅威の状況は個人の対応能力を上回る速さで拡大しています。脅威に気づく能力はもとより、脅威から身を守る能力も遅れています。消費者がウェブ上のタッチポイントのセキュリティ確保に無関心であることから、商業活動だけでなく、公共および民間のインフラやシステムにもリスクが生じています。
コムキャストが2年ごとに発表している消費者のサイバーヘルスに関する調査「2022年Xfinityサイバーヘルスレポート」によると、1世帯あたり平均15台のインターネット接続デバイスがあり、2020年から25%増加している。また、「パワーユーザー」は34台ものデバイスを所有している。
ホームIoT:インフラ攻撃へのバックドア
その影響は個人にとって悲惨なものにとどまらない。ジョンズ・ホプキンス大学ラルフ・オコナー持続可能エネルギー研究所の電力インフラとサイバーフィジカルレジリエンスの専門家であるユーリ・ドヴォルキン氏によると、家庭の空調システム、自動車、大型家電など、あらゆるノードの脆弱性が、脅威の侵入口となる可能性があるという。
参照:モノのインターネット(IoT)チートシート:2022年完全ガイド(TechRepublic)
「このようなIoTデバイスは大規模にハッキングされる可能性があるという仮説は、EVセキュリティに関する私たちの研究の基盤となっている」とドヴォルキン氏は述べた。
ドヴォルキン氏は、EVやその他の高出力家電が需要側サイバー攻撃の標的となり、電力系統に影響を及ぼす可能性に関する研究の共同執筆者です。これは、EVやその他の高出力家電が、スマートフォンアプリとの連携を含むIoT通信・制御インターフェースを備えているためです。
IoTの脆弱性の代表例は、2016年に工場出荷時のデフォルト認証情報を持つ50万台以上のIoTデバイスを感染させた、悪名高いMiraiボットネットDDoS攻撃でしょう。DNSプロバイダーのDynへの攻撃により、Airbnb、PayPal、Twitterが一時的にダウンし、Dynの顧客は約8%の損害を被りました。
「攻撃者は、侵害を受けたIoT制御負荷の電力消費量を変更して、悪意を持って負荷制限を引き起こしたり、セキュリティマージンを減らしたり、さらには連鎖的な障害を引き起こしたりする可能性がある」とドヴォルキン氏は述べた。
サイバーセキュリティリスクを過小評価している理由
コムキャストの最高情報セキュリティおよび製品プライバシー責任者であるヌーパー・デイビス氏は、この調査研究の中で、リモートワークやハイブリッドワークへの急速な文化的変化とIoTの進化と成長により、「仕事と私生活の境界線が曖昧になり続け、多くの人が知らないうちにサイバー犯罪者にとっての新たな脆弱性と隙を生み出している」と述べています(図A)。
図A
この論文では、新たな消費者調査のデータと、Comcast の Xfinity の xFi Advanced Security プラットフォームによって収集された脅威データを組み合わせて、次のような内容が述べられています。
- 調査回答者の 58% が、来たるホリデー ショッピング シーズン中に少なくとも 1 つの接続デバイスを購入する予定であると回答しました。
- 61% の回答者は、新しいスマートホーム デバイスはデフォルトでほとんどのサイバー脅威から保護されていると、ある程度、強く、または完全に (誤って) 信じています。
- 回答者の78%が、パスワードの再利用や共有、ソフトウェアのアップデートのスキップなど、サイバー脅威にさらされる危険なオンライン行動を認めており、これはわずか2年前から14%増加している。
- サイバー攻撃の被害者になったかどうかがどのくらい早くわかるかとの質問に対し、「すぐに」と答えたのはわずか20%だった。一方、消費者の約3分の1(32%)は、サイバー攻撃の被害者になったかどうかわかるかどうかわからないと答え、回答者の51%は、画面のないデバイスがハッキングされたかどうかわかるかどうか自信がないと指摘した。
- アメリカ人の 4 分の 3 は、自宅のネットワークを襲う攻撃は毎月 10 件未満であると誤って認識しています。Comcast の報告によると、セキュリティ プロトコルにより、1 世帯あたり毎月平均 23 件の固有の脅威がブロックされていますが、攻撃は繰り返されるため、実際の攻撃の総数はその 3 ~ 4 倍に達します。
参照: 産業用 IoT と IoT の 5 つの主な違い (TechRepublic)
プラス面としては、人々の脅威に対する一般的な認識が向上していることが明らかになりました。2020年の調査では、回答者の53%がフィッシングについて聞いたことがありましたが、フィッシングとは何かを自信を持って説明できると回答したのはわずか28%でした。今回の調査では、回答者の71%がフィッシングについて聞いたことがあると回答し、39%が自信を持って説明できると回答しました(図B)。
図B
個人のサイバーセキュリティにおける世代間の違い
ベビーブーマー世代のほぼ4分の3が、パスワードの再利用や多要素認証の拒否といったリスクを負っていると回答したが、ジェネレーションXの80%、ミレニアル世代の82%、ジェネレーションZの87%も同様の回答をした。
調査対象となったミレニアル世代の4分の3強が、今年のホリデーシーズンに新しいスマートフォン、ノートパソコン、ゲーム機などのスマートデバイスを購入する可能性が最も高いと回答しました。Z世代の回答者のうち、マルウェアについて聞いたことがあると答えたのはわずか56%、フィッシングについて聞いたことがあると答えたのはわずか38%でした。対照的に、ミレニアル世代ではマルウェアについて聞いたことがあると答えたのは72%、フィッシングについて聞いたことがあると答えたのは65%でした。
企業をリスクから守る
誰が攻撃しているのか、どの方向から攻撃しているのかを制御することはできませんが、セキュリティリスク評価の実施、業務に固有のリスクの特定、資産インベントリの実施など、組織のセキュリティリスクを軽減する方法はいくつかあります。組織におけるセキュリティリスクの軽減方法については、これらのベストプラクティスをダウンロードしてください。
