Universal default password in consumer IoT

一般消費者向けIoT製品に共通のデフォルトパスワードを使用することが危険な理由

サイバーセキュリティのリスクとなる理由を解説します

サイバーセキュリティのリスクとなる理由を解説します

今日のデジタル時代において、消費者はモノのインターネット(Internet of Things:IoT)製品によってもたらされる利便性とメリットをますます認識するようになっています。これらの接続されたデバイスは、日常生活をより便利にし、より良いものにする多くのスマート機能を提供しています。将来的な展望として、世界の消費者向けIoT市場の見通しは、2027年には2,048億ドルに達すると予測されており、2021年から2027年にかけてのCAGR(年平均成長率)は15.9%で上昇すると予測されています。

しかしながら、その普及が進むにつれて、潜在的なサイバー脅威から接続されたデバイスを安全に保護する必要性が高まっています。そのため、消費者向けIoTデバイスのサイバーセキュリティ規格 ETSI EN 303 645の発表などの最近の動きは、正しい方向への一歩であると言えるでしょう。

ここでは、サイバーセキュリティ規格 ETSI EN 303 645の最初の規定である「共通のデフォルトパスワードを使わない」について、なぜ弱いデフォルトパスワードを利用することが消費者向けIoT 製品にとって良い考えではないのかを考察してみます。


消費者向けIoTデバイスがどのようにユーザーにアクセスを許可するか-そして、なぜ弱いパスワードでは無防備なのか 

消費者受けIoTデバイスを保護するための最初の防御策は、ユーザーの身元を確認するプロセスまたはアクションである「認証」です。

 

認証媒体

デバイスへのアクセスを許可するには、ID:識別情報(ユーザ名など)が使用され、ユーザーがそのIDを証明できるように認証が必要です。そして認証は、以下に基づいて行われます。

  • あなたが知っている事(パスワードなど)
  • あなたが持っている物(スマートカードなど)
  • あなた自身の何か(指紋などの生体情報)

危険なのは弱いパスワードを使うことであり、普遍的なデフォルトパスワードを使わないことが必要だということです。どのデバイスも、全てのソフトウェアおよびハードウェアのインターフェイスには攻撃対象領域が存在しており、不正アクセスに悪用され、デバイスからデータを取得するために利用することができます。

脆弱性として代表的なものが、弱いパスワードの使用です。弱いパスワードの特徴には以下のようなものがあります。

  • 簡単にブルートフォースされる:文字数が少ない(6文字以下)、予測可能な文字列(123456など)、辞書(admin admin)
  • ソーシャルエンジニアリングにかかりやすい:あなたの名前はピーターでパスワードはピーター01
  • 変更不可:ソフトウェアのソースコードから取得可能

弱いパスワードへの対策のひとつが、FIPS 140-2から参照したパスワード設定として推奨される以下の基準です。

  • 長さが7文字以上であること
  • 以下の文字クラスのうち、少なくとも3種類を含むこと
    • ASCII 数字
    • 小文字 ASCII
    • 大文字 ASCII
    • 非英数字 ASCII
    • 非ASCII

共通デフォルトパスワードは、あるモデルにおけるすべての個々のデバイスが動作状態にあり、同じパスワードが使用される場合に発生します。


デフォルトパスワードの脆弱性を悪用:理論

デバイスに共通のデフォルトパスワードを使用しているメーカーは、ハッカーに悪用される可能性のある脆弱性を作り出しています。次のシナリオで説明しましょう。

Mr. Smithは、SuperFridgeというスマート冷蔵庫を購入しました。この冷蔵庫は、接続すると、デフォルトのユーザー名「SuperFridge」とデフォルトのパスワード「000000」でモバイルアプリを通じて(インターネットを通じて)アクセスすることができるようになります。Mr. Smithはテクノロジーに詳しくありませんが、牛乳がなくなると、アプリ経由でスマート冷蔵庫が設定を行い、自動的に近所の食品店から牛乳を注文してくれるので、この新しいスマート冷蔵庫を便利だと感じています。

  

 

一方、Mr.Malloryは悪質ハッカーです。彼は冷蔵庫の欠陥を調べるために同じモデルを購入し、その機器がデフォルトのユーザー名とパスワードを使っていることをすぐに突き止めます。つまり、彼はどのスマート冷蔵庫にも接続でき、悪意のあるメッセージを送ることができるのです。

  

 

もうひとつの方法は、「ブルートフォース」によるものです。このタイプの攻撃は、認証情報(通常はユーザー名とパスワード、ただし短い場合はトークンも)を推測してシステムに不正にアクセスします。

 

パスワード生成方法

デバイス上デフォルトでパスワードを使用する場合、各デバイス毎に固有のパスワードを使用する必要があり、その生成方法は容易に推測できないものでなくてはいけません。

Mr. SmithとSuperFridgeの例でいうと、「SuperFridge」+「工場出荷時バッチ番号」= 「SuperFridge462」のようにパスワードを作成すると、あまりにも簡単に推測されてしまいます。生成の構造は「f2wd34hsd2aead89」のようにランダムに見えるパスワードでなくてはなりません。

 

認証と暗号化

ユーザーがネットワーク経由でユーザー名とパスワードを送信する場合、悪意のあるハッカーがネットワーク上で送信データを「盗聴」しているかもしれないので(データはクレデンシャルであるため)、それを読み取ることができないようにする必要があります。

クリアテキスト(暗号化されていない平文)クレデンシャルの送信を避けるために、ユーザーはクレデンシャルを安全な通信チャネルで送信します。一般的な方法は、http上でTLS 1.2(または1.3)を使用してデータを暗号化することです。


パスワード・アンチ・ブルート・フォース・メカニズム

ブルートフォース攻撃は、認証情報(通常はユーザー名とパスワード、ただし短い場合はトークンも)を推測して、システムに不正にアクセスすることです。

以下の画像は、アタッカーがHydraというツールを使用して異なるパスワードを試しながら、あるクレデンシャルをブルートフォース攻撃している様子です。

上の画像では、パスワードはわずか85回の試行で推測されましたが、ハッカーは何百万ものリクエストを送信してクレデンシャルを推測します。

このような、何百万もの試行を回避するために、デバイスは以下のような方法でブルートフォース攻撃を防ぐことができます。

  • 試行失敗後のアカウントロックアウト
  • デフォルトポートを変更
  • CAPTCHAを使用
  • ログインを指定のIPアドレスもしくは範囲を制限
  • 2ファクター認証(2FA)を採用
  • 固有のログインURLを使用
  • サーバーログの監視

 

デフォルトパスワードの脆弱性を悪用—In the wild

2016年、Miraiボットネットは、米国西海岸で分散型サービス拒否(Distributed Denial-of-Service:DDoS)によってインターネット停止状態を作り出したことで、新聞の見出しを飾りました。これは、数百万台のIoTデバイスからなるボットネットであり、攻撃者はこれらを乗っ取り、制御することができます。

これらすべてのIoTデバイスを制御するために、感染したデバイスはインターネットをスキャンして他のデバイスを探します。その際、60種類のデフォルトパスワード(1111、6666、password、admin、guestなど)とユーザー名(主にroot、admin)を使用し、ブルートフォース認証でログインしようとします。

デフォルトパスワードがどの程度広まっているかを把握するには、一般に公開されているデフォルトパスワードのデータベースをご覧ください :https://many-passwords.github.io/

 

ETSI EN 303 645規格とは

消費者向けIoTデバイスのサイバーセキュリティに関する懸念に対処するため、サイバーセキュリティ規格ETSI EN 303 645が発表され、デバイスメーカーおよび業界全体に対して、これらのデバイス向けのサイバーセキュリティを強化するための包括的な規格を提供しています。この規格は、将来的なIoT製品の認証のための基礎にもなっています。

13の項目からなる機器、通信、個人データ保護のセキュリティニーズを網羅した、消費者向けIoTデバイスのためのグローバルに適用可能なサイバーセキュリティガイドです。規格の最初の項目は、弱いデフォルトパスワードの使用あるいは誤用についてです。

 

弱いデフォルトパスワードや共通デフォルトパスワードに対して何ができるか

サイバーセキュリティ規格ETSI EN 303 645に記載されている最初の規格は、共通デフォルトパスワードを使用しないことです。この規格によれば、消費者向けIoT製品のパスワードは、以下のように適用されます。

  • パスワードが使用される場合、工場出荷時のデフォルト以外の状態では、すべての消費者向けIoTデバイスのパスワードは、デバイスごとに固有であるか、ユーザーが設定するものとする
  • デバイスごとに固有のパスワードがプリインストールされている場合には、デバイスのクラスまたはタイプに対する自動攻撃のリスクを低減するメカニズムにより生成されるものとする
  • デバイスに対してユーザーを認証するための認証メカニズムは、技術の特性、リスクおよび用途に適したベストプラクティス暗号を使用するものとする
  • ユーザーがデバイスに対して認証可能な場合、デバイスはユーザーまたは管理者に、使用される認証値を変更するためのシンプルな方法を提供するものとする
  • 制約されたデバイスでない場合、ネットワークインタフェースを介した認証メカニズムに対するブルートフォース攻撃を実行できないようにするメカニズムを利用できるものとする

この規格を読むと、ブルートフォースで簡単に推測・ハッキングできるパスワードの使用を禁止する一方、ユーザーが認証パスワードを変更できるようにする方法を求めていることがわかります。

 

ETSI EN 303 645試験でテュフズードを選択する理由

消費者は、消費者向けIoTデバイスのサイバーセキュリティにますます関心を寄せています。デバイスメーカーは、ETSI EN 303 645規格に基づき製品を認証することで、消費者が購入する際に大きな自信と安心感を与えることができます。

メーカーにおいて1つの対応方法として、当社のような組織と協力してETSI EN 303 645試験および適合性の検証(Attestation of Conformance:AoC)を実施することです。 

テュフズードの専門家は、特定の市場におけるサイバー詐欺やデータのプライバシー規制を熟知し、サイバー脅威の分野を深く理解しており、世界中の顧客と協力してデジタル未来の可能性を完全に解き放つことができます。 

サイバーセキュリティとデータ保護は、当社のコアな能力の一つです。製品の設計から製造、運用に至るまで、あらゆる段階で親身にサポートし、サイバーセキュリティとデータプライバシー漏洩リスクを低減させます。

ETSI EN 303 645のテストサービスについての詳細はこちらをご覧ください。


もっと知る

Internet of Things
ホワイトペーパー

IoTサイバーセキュリティの脅威と規制

CIoT(Consumer IoT)製品のサイバーセキュリティリスクを理解し、CIoT製品に関する新たな規格や規制を学びましょう。

詳細を知る

New EU security legislation
ブログ

無線機器指令(RED)に基づく新しいEUセキュリティ法制

無線機器指令(RED) 2014/53/EUの3.3条について詳しく説明します

詳細はこちら

テュフズードジャパン
ブログ

ETSI EN 303 645規格:コンシューマーIoT機器セキュリティとは?

コネクテッドデバイスのサイバー耐性を試験し、認証を取得することの重要性

詳細はこちら

irobot
ブログ

ロボット掃除機「ルンバ」のIoTサイバーセキュリティを実現

テュフズードが「ルンバ」のIoTサイバーセキュリティ規格ETSI EN 303 645適合をサポート

詳細はこちら

リソースセンターへ

次のステップ

Site Selector