セキュリティー・インテリジェンス
脆弱なパスワードが IoT を破滅に追い込む?
2020-04-16
カテゴリー セキュリティー・インテリジェンス | ネットワーク&エンドポイント
記事をシェアする:
脆弱なパスワードは、あらゆる組織のセキュリティーに被害を及ぼし、デバイスのハッキングにつながる恐れがあります。IoT (モノのインターネット) セキュリティーにおいても、このようなパスワードは最大の弱点にもなるのでしょうか? 確かなことは、脆弱なパスワードは、IoT デバイスを展開する企業がサイバー攻撃の被害にあうリスクを高めているということです。
IoT デバイスを標的とする攻撃は既に随所で確認されており、侵入手段として脆弱なパスワードが狙われています。2019 年には、脅威アクターがパスワード管理の甘さに乗じて、プリンターや電話といった一般的なオフィスの IoT デバイスを狙いました。2020 年には、IoT 攻撃でルーターが標的になり、ハッカー・フォーラムで51万以上にもおよぶIoTデバイスなどの認証情報をハッカーが公開して話題になりました。
脆弱な (そしてハッキングされた) パスワードには、製造業者が使うデフォルト・パスワードも含まれていました。これらのパスワードは、 一見したところIoT のセキュリティー・レベルをあげるかのように見えますが、実際には、箱から取り出した時点でデバイスにパスワードが設定されているのだからセキュリティー対策は十分だとユーザーに錯覚させるだけの効果しかありません。こうした状況は、悪意のあるアクターが簡単に侵入できてしまう防御の甘いエンドポイントがさらに攻撃対象となる土壌を生み出すことにつながります。
パスワード管理を改善しなければ、IoT セキュリティーはあっという間に持続不可能になる恐れがあります。
脆弱なパスワードは開発中から始まる
IoT はホットな商材となっています。2020年1 月に米国で開催されたCES (コンシューマー・エレクトロニクス・ショーでは、IoT デバイスがあらゆる場所で、考えられるすべての形態で紹介されていました。スマート・テクノロジーは想像できるすべてのものに組み込まれるところまで来ています。こうしたデバイスを他社に先んじて消費者に届けようと各社躍起になっています。
「メーカーは、スマート・デバイスをできるだけ早く市場に出すことに焦点を当てていますが、IoT の可能性を利用するこの競争では、セキュリティーが全く考慮されないことがよくあります。」と Enzoic 社 CEO の Michael Greene 氏はメールで説明しています。
こうした製造業者にとって、パスワード・セキュリティーに限らず、あらゆるセキュリティーの優先度はどれほど低いのでしょうか。
「多くのコネクテッド・デバイスがデフォルトのパスワードを標準装備として出荷されています。中国では、デフォルトのパスワードを「123456」と設定した 600,000 台の GPS トラッカーが製造されたケースがありました」と Greene 氏は話します。政府は IoT のセキュリティーを高優先度の問題とは見なしていないため、デフォルト・パスワードだけでなく、そもそも IoT デバイスにセキュリティーを組み込む必要性については、現在のところ最低限のレベルでしか規制されていない状況にあります。つまり、こうしたデバイスを保護する責任は、ユーザーと IT 部門の肩にかかっているのです。
しかし、ユーザーと IT 部門はそのレベルに達していません。Greene 氏によると、ここで必要なのは、単にデフォルト・パスワードを置き換えることに限りません。パスワード管理全体をよりスマートにするための作業も必要です。これが必要であることは、約 60%のユーザーが複数のデバイスや Web サイトなどのアクセス・ポイントで同じパスワードを使用しているという事実からも明らかです (LogMeInの調査より)。
Greene 氏はさらに次のように語っています。「このような環境では、ハッカーは以前に漏えいしたパスワードを流用して、他のシステムやデバイスに容易にアクセスすることができます。」IoT セキュリティーが最初から差し迫った懸念事項と見なされず、開発と販売のエコシステム全体で対応されていない現状が改善されなければ、パスワード管理の甘さとその脆弱性により、今後ますます多くのスマート・デバイスが攻撃の標的となると彼は確信しています。
IoT セキュリティーは全員の責任
この状況を簡単に変えることは難しいといえます。ユーザーはパスワードに関して自分のやり方にこだわりますし、IT 部門は多くの場合 (企業が多数のデバイスの管理を抱えている場合は特に) IoT パスワードの監視の必要性よりも、急を要する課題を抱えています。
しかし、Check Point Software Technologies 社のサイバー・リサーチ・リーダー Yaniv Balmas 氏は、ニューオーリンズの CPX360 で、IoT は脅威の全貌全体で重要な地位を占めつつあると語りました。現状では、これらのデバイスのセキュリティー・レベルは比較的低いままですが、デバイスのセキュリティーを改善するには、開発側 (この場合、コストは通常消費者の負担になります) でもユーザー側でもコストがかかります。
Balmas 氏はさらに「コストがまずは優先されがちです。私たちはより安価な商品を求めます」と語っています。
しかし、IoT デバイスの保護に関して言えば、まだ望みはあります。企業は認証に関して、パスワードを超えるソリューションに取り組み始めています。例えば Amazon 社は、店舗の自動支払機に生体認証方式を連携させることを検討しています。これは顧客が手のひらによって ID を検証し、それがクレジット・カードやデビット・カードにリンクされるというものです。もう 1 つの前進は UL (旧称: 保険会社研究所) で導入された IoT セキュリティー・レーティング・プログラムです。UL 検証マークは、消費者に、セキュリティーのリスクと、多様な IoT デバイスに関連付けた標準について、注意を促します。
メーカーは開発段階でセキュリティーをもっと重要視する必要があり、企業は最先端の認証オプションが利用可能になったら採用する必要があります。それまでは、IoT デバイスの安全を確保する上で鍵を握るのは、ユーザーと企業のセキュリティー・ポリシーです。それには、簡単な最初の一歩、つまり今すぐデフォルトのパスワードを強力で固有なパスワードに変えることが必要です。IoT デバイスで脆弱なパスワードを使用し続ける限り、企業のネットワークとデータを不要なリスクにさらすことになるのです。
【関連情報】
IBMのIoT/OTセキュリティーソリューションの概要はこちらから
統合エンドポイント管理のためのAIアプローチはこちらから
IDとアクセス管理に関するIBMのサービス概要はこちらから
【お問い合わせ】
メールでのお問い合わせはこちらから
【著者情報】
Sue Poremba
Sue Porembaは 2011年に、記事、ブログ投稿、SEO、Q&A、プロフィールなど、ブランデッド・コンテンツ/コンテンツ・マーケティングの領域で執筆を開始しました。専門分野はサイバー・セキュリティーとテクノロジーで、さまざまな垂直型産業のためにこれらを取り上げています(結局のところ、テクノロジーに依存せず、セキュリティー・システムを必要としない業界などないですね?)。ブランデッド・コンテンツのセキュリティーとテクノロジーについて取り扱っていた数年間にわたり、クラウド・コンピューティング、モバイル、ビッグデータ、IoTなどのテクノロジーとセキュリティーとの関係性を最前線から見続け、この分野では評価の高いレポーターです。最近では、Onalytica社からサイバー・セキュリティーの領域でトップ25 のインフルエンサーとして指名されました。セキュリティー業界の専門家およびマーケティング担当者との人間関係から、最新のニュースやソースをすぐに利用でき、迅速なインタビューを実施することができました。執筆記事は、IT Business Edgeでのセキュリティー関連のブログに加え、Tom’s Guide、Forbes、Dark Reading(代作者として)、CIO、CSO、Security Magazine、USA Todayなどの刊行物に掲載されました。これまでコンテンツを執筆したことのあるブランドをいくつか例として挙げると、Hewlett Packard Enterprise社、IBM社、SungardAS社、Citizens Bank社、Verizon社、Microsoft社、Kaspersky Lab社、TruSTAR社、Fortinet社、LogMeIn社などがあります。
この記事は次の記事の抄訳です。
https://securityintelligence.com/articles/will-weak-passwords-doom-the-internet-of-things-iot/(英語)
VPNとゼロトラスト、どちらがテレワークのセキュリティーに最適か?
数十年にわたり、社外で業務対応する場合の職場環境へのアクセス方法の定番は、企業の仮想プライベート・ネットワーク(VPN)接続でした。VPNはシンプルかつ低コストで、比較的安全だったからです。しかし、ここ数年、企業のVPN […]
サイバーセキュリティーのスキル・ギャップの解消にゼロトラストがどのように役立つか
ゼロトラスト・モデルを使用すると、スキル・ギャップなど、今日のサイバーセキュリティーにおける主要な課題の取り組みの助けになります。 2020年7月、Deloitteは、Webセミナーの参加者を対象に、それぞれの組織のゼロ […]
ゼロトラスト: ビジネスの保護を盤石にし、大胆に成長を実現
セキュリティー・リスクを心配しなくてよくなったら、ビジネスでどんなことができるでしょうか?お客様のためにどのような製品を創り出しますか?社員にどのような体験をもたらし、生産性を高められるでしょうか?ビジネスをさらに推進す […]