CALENDAR
Sun Mon Tue Wed Thu Fri Sat
     12
3456789
10111213141516
17181920212223
24252627282930
31      
<< March 2019 >>
RECENT COMMENTS
PROFILE
MOBILE
qrcode
SELECTED ENTRIES
CATEGORIES
ARCHIVES
LINKS
RECOMMEND
OTHERS

小論文なんでも相談室

<< 経済統計学会「統計、権力から独立を」声明文を総務省に、、、統計に政権が手を出せば、それはどこかの独裁国か一党独裁国と同じ。二度と他国を批判すべきでない‼ | main | 猟友会所属の女性議員のSNS投稿写真が炎上「命を軽視」 、、、軽い気持ちは、命にかかる話題にはタブーでしょう! >>
お掃除ロボットが「盗み見たかも」しれない秘密、、、SNSも筒抜け‼ましてや、AIによる個人情報の収集はある!
0
    お掃除ロボットが「盗み見たかも」しれない秘密 3/14(木) 6:20 Yahoo!ニュース 7 IoTの進歩や普及には、利便性のほかにリスクもついてまわる。サイバーテロによって起こりうる、医療の深刻な問題とは(写真:metamorworks/iStock) 通販やニュースのサイトにアクセスできなくなる、医療機器を誤作動させる、掃除ロボットを通して他人が室内を盗み見する……。IoT(Internet of Things)の広がりで、セキュリティの脅威、リスクも高まっている。 2020年のオリンピック・パラリンピック東京大会に向け、サイバー攻撃のリスクをできるだけ下げておきたいということもあり、政府主導のIoTセキュリティチェックも始まった。放置される脆弱なIoTデバイスの存在に対してどのような観点でセキュリティを考えていけばよいのだろうか。 特定のIT領域それぞれについて、5年先までの進化を予想する『ITロードマップ 2019年版 情報通信技術は5年後こう変わる!』でセキュリティに関する章を監修した専門家が、IoTセキュリティの考え方を解説する。 ■IoTを狙ったマルウェア「Mirai」  IoT(Internet of Things)によって、さまざまなモノ(物)がインターネットにつながる世界が広がりつつある。それに伴って、IoTデバイスを狙ったサイバー攻撃の脅威も強まっている。  IoTデバイスがサイバー攻撃の対象となった事例としては、2016年に流行したマルウェア「Mirai」が有名である。  インターネットのインフラを提供するアメリカ企業、ダインを狙ったサイバー攻撃では、アマゾンやツイッター、テレビ局のCNN、ニューヨーク・タイムズ、ウォール・ストリート・ジャーナルといった企業のサーバーがダウンし、アクセスできない事態に陥った。  Miraiは工場出荷時パスワードなど簡単なパスワードが変更されずに使われているIoTデバイスを探し出し感染する。感染後はほかのデバイスへの感染を試みることで感染を拡大し、「仲間」を増やしていく(「ボットネット」と呼ばれる)。このボットネットに対して攻撃指令が発せられると、特定のIPアドレスに一斉に多量の通信パケットを送信し、攻撃のターゲットを「麻痺」させる。いわゆるDDoS攻撃である。  Miraiとは、日本的な名前のマルウェアだが、作成者としてアメリカ人3人がFBIに逮捕され有罪判決を受けている。Miraiの作成者はすでに逮捕されているが、ソースコードは公開されており、それをベースとしてMiraiの亜種が多数作成されている。中には、ポートマッピングと呼ばれる方法で、インターネットからの通信をルーターの内側に伝達するコードを含むものもある。  ■心臓ペースメーカーなどでも発見されている脆弱性  IoTデバイスのセキュリティ侵害はDDoS攻撃だけではない。IoTデバイスは身の回りのさまざまなところで使われている。産業用途や自動車などではデバイスに不正に侵入され操作されると、工場の生産ラインや安全な走行が妨害される可能性がある。また医療やコンシューマー向け製品・サービスの場合には、データの改ざんによる誤動作や遠隔操作、プライバシー情報の流出の恐れがある。  実際に脆弱性も報告されている。医療機器では、アメリカ製心臓ペースメーカーやインスリンポンプのシステムでセキュリティの脆弱性が報告されている。心臓ペースメーカーの例では、デバイスとワイヤレス通信する患者宅に設置される送信機が改変され、ペースメーカーに不正なコマンドを送信することができ、これによって異常動作を引き起こす可能性があるとのことである。この例では製造業者が製品リコールを行いデバイスのファームウェアのアップデートを行っている。  また家電製品では、韓国製のホームデバイス用モバイルアプリに脆弱性が発見された事例があった。同社のモバイルアプリとクラウド上のアプリケーションにセキュリティ設計上のミスがあり、他人が所有者に成りすますことが可能で、冷蔵庫、洗濯機といった家電製品の操作や、掃除ロボットに搭載されているカメラの映像を盗み見ることが可能であった。この例でもメーカーがソフトウェアのアップデートを行っている。  ■身の回りに広がるIoT  IoT機器(デバイス)は急速な勢いで増加している。『情報通信白書(平成30年版)』によると世界のIoTデバイス数は、2018年で約310億個(予測値)であり、その後も増加すると予想される。分野・産業別の成長率では、産業用途(30.8%)、自動車(24.0%)、医療(21.9%)の分野で高い成長率が見込まれている(2020年までの予測値)。  コンシューマー向けデバイスも13.6%の成長率であり、今後われわれの身の回りに目に見える・見えないにかかわらず増えていくであろう。  なお「IoT」という言葉の定義はいろいろなものがあるが、本稿では「直接あるいは間接的にインターネットに接続される機器からなる情報インフラ」程度のゆるい定義で用いている。 ■IoTのセキュリティの考え方  それでは、これらのIoT製品のセキュリティはどうなっているのであろうか。  一口にIoTシステムと言っても、前述のようにいろいろな種類がある。またIoTデバイスの製造業者、IoTデバイスを使ったサービスを提供する業者、ユーザー(企業、生活者)などそれぞれが担う責任・役割も違う。さらに、IoTのシステムはIoTデバイスだけではなく、IoTプラットフォーム、広域通信網、IoTゲートウェイ、IoTエリアネットワークといった複数のコンポーネントから構成されるため、それぞれのレイヤーでセキュリティを考える必要がある。  報告されている脆弱性の例でも、必ずしもIoTデバイス自体の脆弱性ではなく、クラウドやスマートフォンのアプリケーション、無線ネットワークなどデバイス以外のコンポーネントに起因するものも多い。このようにIoTのセキュリティは、デバイスを含むシステム全体で考える必要がある。  IoTシステムでは以前からの情報セキュリティの特性である、機密性、完全性、可用性に加えて、信頼性、回復性、安全性、個人情報・プライバシー情報の保護などの観点も踏まえる必要がある。これらは総称してTrustworthinessと呼ばれている。サイバー攻撃などの侵害行為だけでなく故障や誤操作などに対しても期待通りに機能する信頼性といった意味である。 ■製造、システム提供者、利用者それぞれの役割  ■デバイスの製造企業は製品企画の段階から  IoTデバイスの製造業者がセキュリティの観点から心がけなければならないのは、製品の企画から設計、開発、製造、販売、メンテナンスといったプロセスごとにどのようなリスクが存在し、適切なコスト感覚でセキュリティ対策を検討することである。  とくにIoTデバイスは、常時ネットに接続されることが多い、デバイスの計算能力が限られている、モニターがなく利用者の目が届かないところに設置されることもある、長期間にわたり使用されるなどの特性を考慮しなければならない。このためファームウェアアップデートやリモートメンテナンスの機能も必要とされる。  また、後述する政府主導によるIoTのセキュリティ確認が必要とされる現状を見ると、出荷時の初期パスワードを個体ごとに変えることに加え、リリース前のセキュリティ検査などが必要となる。  ■システム、サービスの提供業者はシステム全体を考慮  IoTシステムやサービスを提供する業者は、システム全体のTrustworthinessを考えなければならない。IoTデバイスだけではなく、Webサーバーやスマートフォンのアプリ、使用するネットワークなどシステムを構成するすべてのコンポーネントが対象となる。とくにIoTでは無線通信が使われる局面が多い。  一般的に利用されるWi-Fi、Bluetoothに加え、省電力で広域通信可能なLPWA(Low Power Wide Area)の利用も進み始めている。IoT×無線のセキュリティについては、『ITロードマップ』の最新版(2019年版)により詳しい解説記事がある。  ■利用者も無責任ではいられない  それでは利用者の立場ではどうであろうか。利用者には事業利用と個人利用がある。事業者向けには、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)が公開している「IoTセキュリティチェックシート」が参考になる。最近第2版が公開されたので興味ある方は見てみるとよいだろう。  個人利用では、家庭に設置されるWi-Fiルーターなどインターネットから直接アクセスされる装置のセキュリティが最重要である。とくにWebカメラや一部のオンラインゲームなど、ルーターのポートフォワーディングでインターネット側からアクセスできるようにしてある場合(俗にポート開放と呼ばれる)には、それらのデバイスも脅威の対象となる。推測されにくいパスワードへの変更、最新のファームウェアへのアップデートなど、「野ざらし」に耐えうるセキュリティレベルにする必要がある。  古いデバイスではメーカーのサポートが終了していてアップデートが行われず、脆弱性が残ったままインターネットにさらされているケースもあるので、そうしたデバイスは最新のものに買い替えるべきである。  次節で述べる「NOTICE」による改善勧告が届いた場合には直ちに対応すべきであることは言うまでもない。  ■政府主導のセキュリティチェック  2月下旬から総務省の主導で国内のIoT機器を対象とした「NOTICE」と呼ばれるセキュリティ調査が開始されている。具体的には、国内で使われているグローバルIPアドレス(インターネットから直接アクセスできるIPアドレス)を対象として、容易に推測されるID・パスワードが使われていないかを調査するものである。例えば、「password」「1234567」というようなパスワードが設定されていると、注意喚起がなされる。 ■Wi-Fiパスワードも注意  調査はインターネットを使って行われるため、インターネットに直接接続されるルーターやWebカメラなどが対象となり、家庭内で使用される(ルーターの内側にある)ネット家電は直接の対象とはならない。  Wi-Fiを導入している家庭も多いと思われるが、Wi-Fi接続時のパスワード(暗号キー)も同様に推測されにくいものにすべきである。  Wi-Fiで接続されるそれぞれのIoTデバイスについてもファームウェアアップデートが提供される場合がある。アップデートは頻繁にあるわけではないので、製品のユーザー登録をするなどサポート情報に気づくようにしておくべきであろう。  ■利用者に委ねられる最終的なセキュリティレベル  いずれにしても、いかにセキュリティ機能が充実した製品、サービスであっても利用者の意識次第で無意味なものになってしまう。「Mirai」の例のように自分のところへの影響はなくても、ほかのサイトの攻撃に利用される、いわゆる悪の手先化してしまうこともある。インターネットの安全・安心な利用のためには、攻撃を助長するような行為にも配慮が必要である。製品を購入する際も、機能や価格だけではなく、セキュリティ対策やサポート面が充実しているか考慮しなければならない。  また、IoTの製品、サービスは一度導入、設定してしまえば安心というわけではなく、新たな攻撃手法の開発や脆弱性の発見などで、放っておくと次第にセキュリティのレベルは低下していくということも心にとめておくべきである。 菅谷 光啓 :NRIセキュアテクノロジーズ フェロー 関連記事 「第4の携帯会社」楽天が直面する大きな課題 「#」から数千万円を盗んだ犯罪者の巧妙な手口 アメリカを沈ませかねない5つの深刻な危機 ソフトバンク通信障害が映すスマホ社会の罠 銀行が「LINEペイ」に到底勝てない根本理由 最終更新:3/14(木) 6:20 東洋経済オンライン (c) Toyo Keizai, Inc.,
    | - | 08:48 | comments(0) | - |