ネットワーク上のIoTデバイスを守るのか、ネットワークをIoTデバイスから守るのか

RSA Conference 2021のセッション『Into the Mind of an IoT Hacker（IoTハッカーの心を見抜く）』は、企業内IoTデバイスの問題を取り上げたセッションでした（一部リンク先は英語）。セキュリティ専門家のイツィク・フィーグレヴィチ（Itzik Feiglevitch）氏とジャスティン・サウダー（Justin Sowder）氏は、さまざまなIoTデバイスの脆弱性問題と、企業のサイバーセキュリティにおけるIoTデバイスの取り扱いについて話すと同時に、現代の企業におけるIoTセキュリティの状況を示す驚くべき事例をいくつか紹介しました。

自社で使用するIoTハードウェアを把握しているセキュリティ担当者は、ほとんどいません。スマートエレベーター、各種センサー、IPTV、プリンター、監視カメラなど異なるデバイスが雑多に入り混じり、それぞれに専用のOSと独自のプロトコルがあり、制御用の適切なインターフェイスがないものがほとんどです。皆さんの会社にも、このようなIoTデバイスがたくさんあるかもしれません。

IoTデバイスによってサイバーセキュリティのリスクがさらに生じる理由

IoTデバイスは、関連のインフラに属すものと見なされていない場合があります。一般的に、ネットワークプリンターはネットワークデバイスとしてカウントされますが、「スマートビルディング」のコンポーネントやIPテレフォニーシステムはカウントされないことがあります。このようなデバイスも、企業ワークステーションと同じネットワークに接続される傾向にあるのですが。

従業員の入社や退職によって、状況がさらに複雑化する場合もあります。セキュリティ部門やIT部門の離職率が高いほど、自社ネットワークに接続されたIoTデバイスについて、新たな担当者が何も知らない可能性が高くなります。

最悪なのは、こうしたデバイスの一部が外部からアクセス可能な場合でしょう。そうなっているのには、ベンダーがある程度管理する必要がある、テレワークする人が利用できるようにする、メンテナンスのために必要など、正当な理由があるのかもしれません。しかし、デバイスを企業ネットワーク内に置いて永続的にインターネット接続することには、リスクがあります。

また、逆説的に聞こえるかもしれませんが、現代の電子機器の堅牢さ自体もリスク要因の一つです。IoTデバイスの中には、寿命が非常に長く、設計時に想定していたよりも格段に複雑なセキュリティ環境で運用されているものがあります。

例えば、古くて脆弱性を抱え、その上サポートが終了しているOSが稼働するデバイスがあるかもしれません。OSのアップデートが可能でも、アップデートするには物理的にアクセスする必要があるかもしれません（物理的アクセスは、状況によって難しかったりほぼ不可能だったりします）。パスワードを変更できない、ファームウェアの最終バージョンにデバッグ用バックドアが残っているなど、セキュリティ担当者にとってしびれるような状況が判明することもあります。

攻撃者がIoTデバイスに興味を持つ理由

サイバー犯罪者がIoTデバイスに関心を持つのには複数の理由がありますが、IoTデバイスを使用している企業も、その他企業も、攻撃の対象となります。サイバー犯罪者は、セキュリティ侵害したスマートデバイスを、主に以下の用途で使用します。

• DDoS攻撃用ボットネットのセットアップ
• 暗号資産（仮想通貨）のマイニング
• 機密情報の窃取
• 妨害工作
• さらなる攻撃とネットワーク内横展開のための踏み台

ケーススタディ

リサーチャーたちは、とんでもない事例をいくつか紹介しました。インターネットに接続された標準的なデバイスに関連するものと、用途の限られた専門的なデバイスに関連するものがありましたが、特に目立った二例は、超音波装置と、Zigbeeデバイスに関連する事例でした。

超音波装置

現代の医療関連組織では、IoT医療機器を多数利用しています。こうしたデバイスのセキュリティをテストするために、リサーチャーらは中古の超音波装置を購入してハッキングを試みました。ハッキングに要したのは、わずかに5分程度でした。このデバイスではWindows 2000が稼働しており、一度も更新されていませんでした。その上、このデバイスをコントロールできたばかりか、前の所有者が削除していなかった患者データにアクセスすることもできました。

医療機器は、更新も買い換えもされずに何年も、場合によっては何十年も、使われることがしばしばです。故障せずに動いているなら理解できなくもありませんが、購入した医療組織で長年利用されるだけでなく、中古として売却されて使い続けられることが少なくないのです。

Zigbeeプロトコル

Zigbeeは、デバイス間の無線通信を電力効率よく行うために、2003年に開発されたネットワークプロトコルです。メッシュネットワークの構築に利用されるほか、スマートビルディング内にある各種コンポーネントの接続にもしばしば使用されています。そのため、スマートIoTデバイスを運用している企業では、さまざまな多数のデバイス（例えばスマート照明システム）をコントロールするゲートウェイがオフィス内のどこかに設置されています。

一部では、サイバー犯罪者は一般的なラップトップでZigbeeデバイスをエミュレートし、ゲートウェイに接続し、マルウェアをインストールすることが簡単にできるだろうと言われています。サイバー犯罪者は、Zigbeeネットワークの通信範囲内（オフィスのロビーなど）にいるだけでいいのです。ゲートウェイを操作することで、例えばビル内のスマート照明をすべて消灯するなど、さまざまな妨害工作ができるようになります。

企業ネットワークを保護するには

企業ネットワーク上のIoTデバイスを保護するべきなのか、企業ネットワークをIoTデバイスから保護するべきなのか、セキュリティ担当者が常に分かっているとはかぎりません。実際に、両方とも解決すべき問題です。重要なのは、ネットワーク上のアイテムとアクションをすべて可視化することです。企業セキュリティを確立するには、まずネットワークに接続されたデバイスをすべて特定し、適切に分類し、理想的には関連リスクを分析する必要があります。

次のステップは、分析結果に基づいたネットワークのセグメント化です。交換できない必須のデバイスに脆弱性があり、アップデートで修正できない場合は、脆弱なデバイスにインターネットアクセスさせず、他のネットワークセグメントからのアクセスもできないように、ネットワークを設定する必要があります。できれば、セグメント化に当たってゼロトラストのコンセプトを採用するのが理想です。

ネットワークトラフィックをモニタリングして関連セグメントに異常がないかどうかを見ることも、セキュリティ侵害されたIoTデバイスがDDoS攻撃やマイニングに使用されていないか追跡するために不可欠です。

最後に、IoTデバイスを足がかりにネットワークやその他システムを攻撃する高度な攻撃を早期に検知するには、EDRクラスのソリューションの使用を検討してください。