サイバーセキュリティのリスクとなる理由を解説します
サイバーセキュリティのリスクとなる理由を解説します
今日のデジタル時代において、消費者はモノのインターネット(Internet of Things:IoT)製品によってもたらされる利便性とメリットをますます認識するようになっています。これらの接続されたデバイスは、日常生活をより便利にし、より良いものにする多くのスマート機能を提供しています。将来的な展望として、世界の消費者向けIoT市場の見通しは、2027年には2,048億ドルに達すると予測されており、2021年から2027年にかけてのCAGR(年平均成長率)は15.9%で上昇すると予測されています。
しかしながら、その普及が進むにつれて、潜在的なサイバー脅威から接続されたデバイスを安全に保護する必要性が高まっています。そのため、消費者向けIoTデバイスのサイバーセキュリティ規格 ETSI EN 303 645の発表などの最近の動きは、正しい方向への一歩であると言えるでしょう。
ここでは、サイバーセキュリティ規格 ETSI EN 303 645の最初の規定である「共通のデフォルトパスワードを使わない」について、なぜ弱いデフォルトパスワードを利用することが消費者向けIoT 製品にとって良い考えではないのかを考察してみます。
消費者受けIoTデバイスを保護するための最初の防御策は、ユーザーの身元を確認するプロセスまたはアクションである「認証」です。
デバイスへのアクセスを許可するには、ID:識別情報(ユーザ名など)が使用され、ユーザーがそのIDを証明できるように認証が必要です。そして認証は、以下に基づいて行われます。
危険なのは弱いパスワードを使うことであり、普遍的なデフォルトパスワードを使わないことが必要だということです。どのデバイスも、全てのソフトウェアおよびハードウェアのインターフェイスには攻撃対象領域が存在しており、不正アクセスに悪用され、デバイスからデータを取得するために利用することができます。
脆弱性として代表的なものが、弱いパスワードの使用です。弱いパスワードの特徴には以下のようなものがあります。
弱いパスワードへの対策のひとつが、FIPS 140-2から参照したパスワード設定として推奨される以下の基準です。
共通デフォルトパスワードは、あるモデルにおけるすべての個々のデバイスが動作状態にあり、同じパスワードが使用される場合に発生します。
デバイスに共通のデフォルトパスワードを使用しているメーカーは、ハッカーに悪用される可能性のある脆弱性を作り出しています。次のシナリオで説明しましょう。
Mr. Smithは、SuperFridgeというスマート冷蔵庫を購入しました。この冷蔵庫は、接続すると、デフォルトのユーザー名「SuperFridge」とデフォルトのパスワード「000000」でモバイルアプリを通じて(インターネットを通じて)アクセスすることができるようになります。Mr. Smithはテクノロジーに詳しくありませんが、牛乳がなくなると、アプリ経由でスマート冷蔵庫が設定を行い、自動的に近所の食品店から牛乳を注文してくれるので、この新しいスマート冷蔵庫を便利だと感じています。
一方、Mr.Malloryは悪質ハッカーです。彼は冷蔵庫の欠陥を調べるために同じモデルを購入し、その機器がデフォルトのユーザー名とパスワードを使っていることをすぐに突き止めます。つまり、彼はどのスマート冷蔵庫にも接続でき、悪意のあるメッセージを送ることができるのです。
もうひとつの方法は、「ブルートフォース」によるものです。このタイプの攻撃は、認証情報(通常はユーザー名とパスワード、ただし短い場合はトークンも)を推測してシステムに不正にアクセスします。
デバイス上デフォルトでパスワードを使用する場合、各デバイス毎に固有のパスワードを使用する必要があり、その生成方法は容易に推測できないものでなくてはいけません。
Mr. SmithとSuperFridgeの例でいうと、「SuperFridge」+「工場出荷時バッチ番号」= 「SuperFridge462」のようにパスワードを作成すると、あまりにも簡単に推測されてしまいます。生成の構造は「f2wd34hsd2aead89」のようにランダムに見えるパスワードでなくてはなりません。
ユーザーがネットワーク経由でユーザー名とパスワードを送信する場合、悪意のあるハッカーがネットワーク上で送信データを「盗聴」しているかもしれないので(データはクレデンシャルであるため)、それを読み取ることができないようにする必要があります。
クリアテキスト(暗号化されていない平文)クレデンシャルの送信を避けるために、ユーザーはクレデンシャルを安全な通信チャネルで送信します。一般的な方法は、http上でTLS 1.2(または1.3)を使用してデータを暗号化することです。
ブルートフォース攻撃は、認証情報(通常はユーザー名とパスワード、ただし短い場合はトークンも)を推測して、システムに不正にアクセスすることです。
以下の画像は、アタッカーがHydraというツールを使用して異なるパスワードを試しながら、あるクレデンシャルをブルートフォース攻撃している様子です。
上の画像では、パスワードはわずか85回の試行で推測されましたが、ハッカーは何百万ものリクエストを送信してクレデンシャルを推測します。
このような、何百万もの試行を回避するために、デバイスは以下のような方法でブルートフォース攻撃を防ぐことができます。
2016年、Miraiボットネットは、米国西海岸で分散型サービス拒否(Distributed Denial-of-Service:DDoS)によってインターネット停止状態を作り出したことで、新聞の見出しを飾りました。これは、数百万台のIoTデバイスからなるボットネットであり、攻撃者はこれらを乗っ取り、制御することができます。
これらすべてのIoTデバイスを制御するために、感染したデバイスはインターネットをスキャンして他のデバイスを探します。その際、60種類のデフォルトパスワード(1111、6666、password、admin、guestなど)とユーザー名(主にroot、admin)を使用し、ブルートフォース認証でログインしようとします。
デフォルトパスワードがどの程度広まっているかを把握するには、一般に公開されているデフォルトパスワードのデータベースをご覧ください :https://many-passwords.github.io/
消費者向けIoTデバイスのサイバーセキュリティに関する懸念に対処するため、サイバーセキュリティ規格ETSI EN 303 645が発表され、デバイスメーカーおよび業界全体に対して、これらのデバイス向けのサイバーセキュリティを強化するための包括的な規格を提供しています。この規格は、将来的なIoT製品の認証のための基礎にもなっています。
13の項目からなる機器、通信、個人データ保護のセキュリティニーズを網羅した、消費者向けIoTデバイスのためのグローバルに適用可能なサイバーセキュリティガイドです。規格の最初の項目は、弱いデフォルトパスワードの使用あるいは誤用についてです。
サイバーセキュリティ規格ETSI EN 303 645に記載されている最初の規格は、共通デフォルトパスワードを使用しないことです。この規格によれば、消費者向けIoT製品のパスワードは、以下のように適用されます。
この規格を読むと、ブルートフォースで簡単に推測・ハッキングできるパスワードの使用を禁止する一方、ユーザーが認証パスワードを変更できるようにする方法を求めていることがわかります。
消費者は、消費者向けIoTデバイスのサイバーセキュリティにますます関心を寄せています。デバイスメーカーは、ETSI EN 303 645規格に基づき製品を認証することで、消費者が購入する際に大きな自信と安心感を与えることができます。
メーカーにおいて1つの対応方法として、当社のような組織と協力してETSI EN 303 645試験および適合性の検証(Attestation of Conformance:AoC)を実施することです。
テュフズードの専門家は、特定の市場におけるサイバー詐欺やデータのプライバシー規制を熟知し、サイバー脅威の分野を深く理解しており、世界中の顧客と協力してデジタル未来の可能性を完全に解き放つことができます。
サイバーセキュリティとデータ保護は、当社のコアな能力の一つです。製品の設計から製造、運用に至るまで、あらゆる段階で親身にサポートし、サイバーセキュリティとデータプライバシー漏洩リスクを低減させます。
ETSI EN 303 645のテストサービスについての詳細はこちらをご覧ください。
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa