IoTホームはセキュリティの自衛を強いる恐れ--横浜国大らが提言

ZDNET Japan Staff

2018-03-28 17:17

 横浜国立大学とBBソフトサービスは3月28日、2017年6~12月に行ったIoT機器を狙うセキュリティ脅威が消費者に与える影響に関する共同研究プロジェクトの最終報告を取りまとめた。報告書(PDF)では3つの提言を行っている。

 プロジェクトは、横国大の情報・物理セキュリティ研究拠点で、一般家庭を想定した「コネクテッドホーム試験室」を構築。国内で市販されているインターネット接続機器を設置して機器に対する攻撃やマルウェアの活動などを観測し、家庭内の環境にもたらす影響を研究した。

 それによると、ハニーポットでは、攻撃者がマルウェアなどを用いて攻撃インフラの確保を目的に機器の脆弱性の悪用を試みる活動が観測された。2017年11月に国内で大規模なIoTマルウェアの感染活動が発生し、マルウェア検体の3~5%程度が家庭内の機器にも攻撃することが確認されたという。しかし、攻撃は無作為な目標に対するものの一部と見られ、明確に家庭内のIoT機器を標的とする脅威は確認されなかったとしている。

 また、LANのルータは現存のIoTマルウェアの感染をある程度防ぐことも確認された。ただし、ルータにマルウェアが侵入すればその限りではなく、擬似攻撃実験からは、ユーザーに心理的な影響を与えられる可能性が認められた。例えば、テレビや照明が勝手についたり消えたりするといった攻撃の仕方で、ユーザーを不安に陥れることができてしまうという。


擬似攻撃実験のイメージ(報告書より)

 研究では、家庭内ネットワークを保護する一般消費者向けのIoTセキュリティボックスと呼ばれる製品の性能も調査し、ポートスキャンやフィッシング攻撃には一定の防御効果があるものの、マルウェア感染を防いだり、感染を検知できなかったりするケースがあることが分かった。

 こうした結果を受け、報告書では(1)家庭内のルータ機器やIoT機器の保護機能の強化、(2)IoT機器の通信の暗号化や認証機能の実装とガイドラインの整備、(3)IoTマルウェア対策への継続した評価――の3つの提言を行った。

 (1)では、IoT機器を提供する企業が脆弱性へ適切に対応し、バックドアを設けないようにするほか、管理機能にアクセスするためのID、パスワードの設定変更をユーザーに促す仕組みや、脆弱性に対応するためのセキュリティアップデートが自動的に行われる設定が取り入れるべきだとした。

 (2)では、機器保守などの目的で行う遠隔操作の悪用を防ぐために、機器に通信の暗号化と認証機能を実装すべきだとし、こうした点を一般消費者も判断できる認証制度などの整備が望まれるとした。(3)では、ホームネットワークセキュリティ製品の防御機能が変化する攻撃に追随可能かを継続的に評価していく必要があるとしている。

 横国大らは、大企業などのIoTシステムではセキュリティ対策を計画的に実施できるが、一般向け製品など提供するベンチャー企業などは資金や体制面で難しいと指摘。一般消費者は、セキュリティリスクを前提にIoT製品の自衛を検討せざるを得ないと警鐘を鳴らしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]