モノのインターネット(IoT)に関しては、いまだにセキュリティ面が立ち遅れています。インターネットに接続しているとは知られていないデバイスもかなりの数があり、IoTの脅威には人に不意打ちを食らわせるたちの悪さがあります。今回は、一見害のなさそうな、ある機器の話です。
ハイテクなインテリア
少し前のこと、とある米国のカジノがロビーに水槽を設置しました。餌やりのタイミング、塩分濃度、水温を自動制御する「スマートな」水槽です。水温が上がりすぎたり下がりすぎたりすると、サーモスタットからカジノのオーナーにオンラインで警告が送られるようになっていました。
このサーモスタットは、侵入者から守るためにVPNで隠されていました。しかし、それで十分ではなかったのです。何の問題もなさそうなサーモスタットは、ローカルネットワーク内の他のノードへ通じるバックドアになっていました。
アイ・スパイ
明らかになったところによると、この水槽はノルウェーのどこかに10GBのデータを送っていました。正体不明のハッカーに手に渡ったのはどんな情報だったのか、インターネットセキュリティの担当が何とか調べ上げたところ、渡っていたのは大金を賭けてくれる上客のデータベースでした。どんな情報が含まれていたのかは明かされていませんが、氏名だけだったにしろ、連絡先やクレジットカード番号のような重要性の高い情報だったにしろ、カジノの評判に対するダメージは計り知れません。カジノの名前は公表されていませんが、被害者にはカジノから事件について報告がなされました。
備えあれば憂いなし
自社の顧客をリスクに晒すような事態を避けるためには、次のことを意識したいものです。
- 末端のデバイスを保護するだけでは不十分です。どんなデバイスでも攻撃の足がかりに使われる可能性があるため、サーバーとゲートウェイにもセキュリティ製品をインストールしてください。外部から不明なポートや不可解なプロトコルを通じて入り込もうとするアクセスをすべてブロックする製品が理想的です。
- メインのタスクにインターネット接続が必要ない機器では、インターネットを利用できないようにしましょう。
- IoTデバイスの構成には、常に細心の注意を払いましょう。現在のところ、IoTデバイスにはセキュリティ製品をインストールできません。
- 侵入テストを定期的に実施しましょう。セキュリティホールや、目立たないが大問題に発展する可能性のある欠陥を、修正可能な段階で発見するのに役立ちます。