モノのインターネット(IoT)は、日々拡大し続ける巨大な攻撃対象領域です。これらのデバイスは、基本的なセキュリティ問題やリスクの高い脆弱性を抱えていることが多く、サイバー犯罪者や国家を含む高度なハッカーの標的としてますます頻繁に利用されるようになっています。
多くの人が長年、IoT攻撃というと、分散型サービス拒否攻撃や仮想通貨マイニングボットネットといった低レベルの脅威を連想してきました。しかし実際には、IoTをクラウドを含む大規模なITネットワークへの最初のアクセスポイントとして利用する、ランサムウェア、スパイ活動、データ窃盗といった攻撃が増加しています。また、高度な脅威アクターは、最近のQuietExitバックドアで確認されたように、IoTデバイスを利用してこれらのネットワーク内に永続的に存在し続け、検出を回避しています。
企業環境に導入されている数百万台のIoTデバイスを独自に分析した結果、高リスクと重大の両方の脆弱性(共通脆弱性評価システム(CVSS)に基づく)が広く蔓延していることが判明しました。IoTデバイスの半数はCVSSスコア8以上の脆弱性を抱えており、20%はCVSSスコア9~10の重大な脆弱性を抱えています。同時に、これらのデバイスは、パスワード保護やファームウェア管理といった基本的なセキュリティ上の欠陥も数多く抱えています。
IoTリスクを完全に排除することはできませんが、軽減することは可能です。企業が取るべきいくつかの対策をご紹介します。
包括的かつ最新の資産インベントリを作成する
私たちの調査によると、企業のセキュリティチームの80%が、自社ネットワーク上のIoTデバイスの大半を特定できていないことがわかりました。これは驚くべき数字であり、問題の深刻さを物語っています。企業が自社ネットワーク上にどのデバイスが存在するかさえ把握できていないとしたら、どのようにして攻撃からデバイスを防御したり、IoT侵害を受けた後のITネットワークの横展開を防いだりできるでしょうか?
しかし、IoTのインベントリ作成は容易ではありません。従来のIT検出ツールはIoT向けに設計されていません。ネットワーク動作異常検出システムはSPANポートのトラフィックをリッスンしますが、IoTトラフィックの大部分は暗号化されており、たとえ暗号化されていない場合でも、送信される情報には十分な識別情報が含まれていません。
具体的な情報がないままHPプリンターだと知るだけでは不十分です。特に、修正が必要な脆弱性がある場合はなおさらです。従来の脆弱性スキャナーは役立ちますが、不正なパケットを送信することで動作するため、IoTデバイスの識別には適しておらず、IoTデバイスをオフラインにしてしまう可能性もあります。
より良いアプローチは、IoTデバイスをその母国語で調査することで検出することです。これにより、組織はIoTデバイスに関する詳細な情報(デバイスのバージョン、モデル番号、ファームウェアバージョン、シリアル番号、実行中のサービス、証明書、認証情報など)を網羅したインベントリを作成できます。これにより、組織はリスクを発見するだけでなく、実際にリスクを修復できるようになります。また、Huawei、ZTE、Hikvision、Dahua、Hyteraなど、米国政府が高リスクと見なすデバイスを除外することも可能になります。
パスワードのセキュリティは必須です
IoTデバイスの多くはデフォルトのパスワードを使用しているため、攻撃は容易に実行できます。IoTデバイス全体の約50%がデフォルトのパスワードを使用していることが確認されており、特定のカテゴリのデバイスではその割合がさらに高くなっています。
例えば、オーディオ・ビデオ機器のIoTデバイスの95%はデフォルトのパスワードを使用しています。デフォルトパスワードを使用していないデバイスでも、そのほとんどが10年間でパスワードを一度しか変更していないことが分かっています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
理想的には、IoTデバイスには30日、60日、または90日ごとに変更される、一意で複雑なパスワードを設定する必要があります。しかし、すべてのデバイスが複雑なパスワードをサポートしているわけではありません。古いIoTデバイスの中には、4桁のPINしか扱えないものもあれば、10文字しか扱えないものや、特殊文字が使えないものもあります。
IoTデバイスの詳細と機能をすべて把握することが重要です。そうすることで、効果的なパスワードを使用し、安全に変更を行えるようになります。パスワードパラメータが脆弱な、あるいはいかなるレベルの認証も提供できないレガシーデバイスの場合は、より高度なセキュリティ対策が可能な最新製品への置き換えを検討してください。
デバイスのファームウェアを管理する
ほとんどのIoTデバイスは古いファームウェアで動作しており、脆弱性が蔓延しているため、重大なセキュリティリスクが生じています。ファームウェアの脆弱性により、デバイスは、コモディティマルウェア、高度なインプラントやバックドア、リモートアクセス攻撃、データ窃盗、ランサムウェア、スパイ活動、さらには物理的な破壊工作などの攻撃にさらされます。当社の調査によると、デバイスのファームウェアは平均6年前から存在し、約4分の1のデバイス(25~30%)はサポート終了となり、ベンダーによるサポートが終了していることが判明しています。
IoTデバイスは、ベンダーが提供する最新のファームウェアバージョンとセキュリティパッチを適用し、常に最新の状態に保つ必要があります。確かに、数十万台から数百万台ものIoTデバイスを保有する大規模組織では、特にこれは困難な場合があります。しかし、ネットワークのセキュリティを維持するためには、いずれにしても、これを実行する必要があります。エンタープライズIoTセキュリティプラットフォームは、こうしたセキュリティプロセスやその他のセキュリティプロセスを大規模に自動化できます。
ただし、デバイスのファームウェアはアップデートではなく、ダウングレードする必要がある場合もあります。脆弱性が広く悪用されており、利用可能なパッチがない場合(IoTベンダーは従来のITデバイスメーカーよりもパッチの発行に時間がかかることが多いため)、脆弱性を含まない以前のファームウェアバージョンにデバイスを一時的にダウングレードすることが推奨される場合があります。
不要な接続をオフにし、ネットワークアクセスを制限する
IoTデバイスは発見されやすく、有線・無線接続、Bluetooth、その他のプロトコル、Secure Shell、Telnetなど、多くの接続機能がデフォルトで有効になっていることがよくあります。こうした無差別アクセスは、外部攻撃者にとって格好の標的となります。
企業にとって、ITネットワークと同様にIoTシステムの強化は重要です。IoTデバイスの強化には、不要なポートや不要な機能の無効化が含まれます。例えば、SSHは有効だがTelnetは無効、有線イーサネットは有効だがWi-Fiは無効、Bluetoothは無効といった対策が挙げられます。
企業はネットワーク外との通信能力も制限する必要があります。これは、ネットワークファイアウォール、単方向ダイオード、アクセス制御リスト、仮想ローカルエリアネットワーク(VLAN)などを用いて、レイヤー2およびレイヤー3で実現できます。IoTデバイスのインターネットアクセスを制限することで、ランサムウェアやデータ窃盗といったコマンドアンドコントロールマルウェアのインストールを悪用した攻撃を軽減できます。
証明書が有効であることを確認する
当社の調査では、安全な認証、暗号化、データの整合性を保証するIoTデジタル証明書が、しばしば期限切れで適切に管理されていないことが判明しました。この問題は、無線アクセスポイントなどの重要なネットワークデバイスでも発生しており、ネットワークへの最初のアクセスポイントでさえ適切に保護されていないことを意味します。
TLS バージョン、有効期限、自己署名など、発生する可能性のあるリスクを修正するために、これらの証明書の状態を検証し、証明書管理ソリューションと統合することが非常に重要です。
環境の変化に注意
IoTデバイスのセキュリティ強化とセキュリティ強化が完了したら、その状態を維持することが重要です。ファームウェアのアップデート、エラー、人為的な介入などにより、デバイスの設定や構成は時間の経過とともに変化するため、環境の変化は頻繁に発生します。
注意すべき主なデバイスの変更としては、デフォルトにリセットされたパスワードや PAM に由来しないその他の資格情報の変更、ファームウェアのダウングレード、および突然再び有効になった安全でないサービスなどがあります。
Phosphorusの最高セキュリティ責任者(CSO)であるブライアン・コントスは、情報セキュリティ業界で25年のキャリアを誇ります。直近では、Verodin社がMandiantに買収された後、セキュリティ戦略担当バイスプレジデントを務めました。Verodin社ではCISOを務めていました。ブライアンは、Impervaの最高セキュリティ戦略責任者やArcSightのCISOなど、他のセキュリティ企業でも上級管理職を歴任しました。情報セキュリティ分野でのキャリアは、国防情報システム局(DISA)でスタートし、その後ベル研究所に勤務しました。
