|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
|
|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
4. IoTの安全性
特集4-1
IoTのセキュリティ強化に向けた技術開発
Technology Development for IoT Security Strengthening
abstract
IoT時代の本格到来に向けて,サイバー攻撃等の具現化する脅威やセキュリティ上の問題を踏まえ,それらを解消すべく今後の技術開発が不可欠となるセキュリティの技術について網羅的に概説する.具体的には,米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(特定,防御,検知,対応)に呼応する,「認証」,「構成管理」,「検知」,「対応」といったそれぞれの領域において,NTTセキュアプラットフォーム研究所が研究開発を進めているIoTセキュリティ技術の代表例について紹介する.
キーワード:IoT,サイバーセキュリティ,認証,構成管理,検知,対応
IoT機器に感染するマルウェアとして代表的なMiraiが最初に使われた大掛かりな攻撃は,2016年9月のセキュリティblog「KrebsOnSecurity」へのDDoSであり,その規模は当時最大級の620Gbit/sだったと言われている(1).その後すぐ,MiraiのソースコードがAnna-senpaiという者によって世に放たれ(1),結果として亜種がたくさん作られるようになり,ことあるごとに大規模DDoS攻撃が多数発生し続けている.その際,IoT機器の管理者(持ち主)は自身の機器が大規模DDoS攻撃に使われていることを全く認識していないのが実情である.
更にIoT機器の持ち主が困り果ててしまう,ランサムウェア(いわゆる身代金ウイルス)のようなマルウェアもある.IoT機器がランサムウェアに感染し,ビットコイン等を身代金的代償として支払わなければ,機器が正常に動作しないような状況を作れることが実験室レベルで既に実証されており(2),このような状況になるのも時間の問題となっている.
このように,2020年には数百億台にもなると言われているIoT機器の急激な増加に伴い,IoT機器が踏み台にされてしまうようなサイバー攻撃の脅威が顕在化しつつあるが,その根本的な問題の一つは(いずれもWebUIが外部にオープンになっていることが前提であるが),ID/パスワードに関わる以下のようなぜい弱さである.
・デフォルトID/パスワードが極端に簡単なものに設定されている
・デフォルトID/パスワードを変更しなくても運用が可能となっている
・デフォルトID/パスワードが製品若しくはベンダ共通のもので設定されている
・デフォルトID/パスワードを記述したオンラインマニュアルを誰でも閲覧可能になっている
続きを読みたい方は、以下のリンクより電子情報通信学会の学会誌の購読もしくは学会に入会登録することで読めるようになります。 また、会員になると豊富な豪華特典が付いてきます。
電子情報通信学会 - IEICE会誌はモバイルでお読みいただけます。
電子情報通信学会 - IEICE会誌アプリをダウンロード
