モノのインターネットは、インターネットに接続できるコンピューター以外のデバイスと大まかに定義されていますが、最近では、Fitbit から冷蔵庫まであらゆるものが含まれます。
インターネット自体と同様に、IoT デバイスは私たちの効率と健康を向上させる素晴らしいツールであり、一般的に私たちの生活を楽にする一方で、私たちをイライラさせたり、困惑させたりする可能性も秘めています。
例えば、医療機器のインターネット(IoT)の応用例――医師が患者のバイタルサインをリアルタイムでモニタリングしたり、投薬量を臨機応変に調整したりする――を考えてみると、現代のインフラの驚異に驚嘆するのは当然です。そして、車に給油しようとして、ガソリンスタンドの小さくて傷だらけの画面に大音量の広告が流れるのを我慢できない時、その画面をハンマーで叩き壊してしまおうという妄想に駆られながら、人類はなぜ現代生活の災厄であるこの装置を開発してしまったのかと不思議に思うでしょう。
すべては冷たい飲み物から始まった
インターネットが人生のあらゆる問題の原因となり、また解決策となるずっと以前、1980年代初頭、カーネギーメロン大学のコンピュータサイエンス教授がARPANETに接続できる自動販売機を発見しました。オフィスから自動販売機までわざわざ歩いて行っても中身が空っぽだったり、もっとひどいことに温かいソーダしか入っていなかったりすることにうんざりした教授は、数人の学生と共に、自動販売機の中身と、缶が冷えきっているかどうかをレポートするプログラムを作成しました。こうして、最初のIoTデバイスが誕生したのです。
この不吉な始まりから、ある現象も生まれました。Statistaによると、2022年時点でインターネットに接続されたIoTデバイスは推定131億4000万台あり、2030年までにその数は294億2000万台に達すると予測されています。
参照:採用キット: IoT 開発者(TechRepublic Premium)
影に潜む
IoTデバイスの普及に伴い、残念ながら、それらを攻撃ベクトルとして利用するサイバー犯罪者が増加しています。デバイス自体の性質上、IoTデバイスは魅力的な標的となります。デバイスは非常に簡単に設置できるように設計されているため、ユーザーはネットワークに接続するだけで、IT部門は何も気づかないのです。
これは非常に一般的なため、「シャドーIoT」という用語があります。Infobloxによるある調査では、ITリーダーの80%が、自社ネットワーク上に知らないIoTデバイスが存在することを発見しました。
メーカーがセキュリティ対策を緩めていることも、状況を悪化させています。パッチやファームウェアのアップデートは、そもそもリリースされるかどうかさえ分かりません。ほとんどのIoTデバイスには、定期的なアップデートの有無をチェックしてインストールする仕組みがありません。さらに悪いことに、多くのデバイスには標準的な管理者ログイン機能が搭載されており、パスワードの変更は一切不要です。
これらすべてを考慮すると、これらのデバイスが多くのデータ侵害の中心となっているのも不思議ではありません。
ブルートフォース、ボットネット、API呼び出し
IoT デバイスは、分散型サービス拒否攻撃用のボットネットを作成するための特に魅力的なターゲットです。
Miraiマルウェアはまさにこの目的で2016年に作成されました。このマルウェアは、ARCプロセッサを搭載したIoTデバイス(2014年時点で15億台)をインターネット上でスキャンし、一般的な工場出荷時の認証情報データベースを使って総当たり攻撃を試みました。侵入後、デバイスは正常に動作し続けたため、エクスプロイトは隠蔽されていましたが、リモート標的サーバーからの制御下に置かれました。特に注目すべきは、DNSプロバイダーDYNのダウンに使用されたことで、Amazon、GitHub、HBO、Netflix、Redditなど、インターネットで最もよく知られている多くのサイトに影響を与えました。
2021年、Western DigitalのMy Book Liveユーザー数名が、ストレージパーティションが突然消去されたことに気付きました。中には、何年も前のデータが消去されていたケースもありました。根本的な原因は、REST APIの脆弱性であり、認証されていないリモートコマンド実行を可能にしていました。この脆弱性は3年前に報告されていましたが、Western Digitalはデバイスのサポートが終了していたため、対応を保留していました。
テスラの複数の倉庫に設置されていた、スタートアップセキュリティ企業Verkadaが所有する防犯カメラにもアクセスが及んだ。「ハッキング」という言葉は使いたくない。犯人の信用を過大評価してしまうからだ。というのも、彼らは管理者の認証情報をオンラインで公開されていたからだ。これにより、彼らはテスラだけでなく、EquinoxやCloudflareといった他の有名企業のセキュリティフィードや完全な動画アーカイブにもアクセスできたのだ。
監視人を監視するのは誰ですか?
これらのデータ侵害は規制当局や専門組織の注目を集めていますが、法律の変更は、次のボットネットや API の悪用を防ぐには遅すぎる可能性があります。
こうした侵害の規模が広範であること、そしてIoTデバイスが標的として魅力的であることを考えると、急いで家に帰って所有しているすべてのスマートデバイスの電源プラグを抜くべきでしょうか?必ずしもそうとは限りませんが、ここで最も重要なのは、セキュリティの責任はエンドユーザーであるあなたにあるということです。
デニー・ルコンプテ氏はポートノックスの CEO です。
