IoTセキュリティとは?| IoTデバイスのセキュリティ

IoTセキュリティとは、Internet of Things(IoT)機器を攻撃から保護することです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • IoTデバイスの主なセキュリティ上の問題を説明する
  • IoTセキュリティの問題に対する解決策を探る
  • 暗号化、認証、ファームウェアのアップデート、相互TLS認証などの概念を理解する

記事のリンクをコピーする

IoTセキュリティとは?

Internet of Things(IoT) デバイスは、ネットワークに接続された防犯カメラ、スマート冷蔵庫、Wi-Fi対応の自動車など、インターネットに接続されたコンピュータ化されたモノのことです。IoTセキュリティとは、これらのデバイスを保護し、ネットワークに脅威を持ち込まないように保護するプロセスです。

インターネットに接続されているモノであれば、いずれ攻撃を受ける可能性があります。攻撃者は、資格情報の盗難から脆弱性の悪用まで、さまざまな方法を用いてIoTデバイスをリモートで侵害することを試みます。IoTデバイスの制御が奪われると、それが利用されてデータが盗まれたり、分散サービス妨害(DDoS)攻撃が行われたり、接続されたネットワーク上のその他の部分を侵害される恐れがあります。

多くのIoTデバイスには強力なセキュリティ対策が施されていないため、IoTセキュリティを実現することは特に困難です。通常、製造元はデバイスを迅速に市場に投入できるよう、セキュリティよりも機能や使いやすさに重点を置いて製造します。

IoTデバイスは日常生活の一部となりつつあり、消費者と企業の両方がIoTセキュリティの課題に直面する可能性があります。

IoTデバイスが最も受けやすい攻撃とは?

ファームウェアの脆弱性の悪用

すべてのコンピュータ化された機器には、ハードウェアを動作させるためのソフトウェアであるファームウェアが搭載されています。パソコンやスマートフォンでは、ファームウェアの上でOSが動作していますが、大半のIoT機器では、ファームウェアが実質的なOSと言えます。

ほとんどのIoTファームウェアは、コンピュータ上で動作する高度なオペレーティングシステムほど多くのセキュリティ保護機能を備えてはいません。また、このファームウェアには既知の脆弱性が数多く存在し、場合によってはパッチが適用できないこともあります。このため、IoTデバイスは、これらの脆弱性を狙った攻撃にさらされる可能性があります。

クレデンシャルベースの攻撃

多くのIoTデバイスには、購入時に既定の管理者のユーザー名とパスワードが設定されています。これらのユーザー名とパスワードは、例えば、パスワードに「password」が設定されている等、あまり安全ではないことが多く、さらに悪いことに、特定のモデルのすべてのIoTデバイスがこれらの同じ資格情報を共有していることもあります。場合によっては、これらの認証情報をリセットすることができないこともあります。

攻撃者はこのような既定のユーザー名とパスワードを熟知しており、IoTデバイスへの攻撃が成功する理由の多くは、単純に攻撃者が正しい認証情報を推測したことにより発生しています。

パス上(On-Path)攻撃

中間者攻撃は、お互いに信頼している2者間(例えば、IoTセキュリティカメラとカメラのクラウドサーバーなど)に身を置き、両者間の通信を傍受します。IoTデバイスの多くはデフォルトで通信を暗号化していないため、このような攻撃に対して特に脆弱です(暗号化とは、データをスクランブルして、権限のない第三者には解釈できないようにするものです)。

物理的なハードウェアベースの攻撃

IoT防犯カメラ、信号機、火災報知器などの多くのIoTデバイスは、公共の場に多少なりとも常設されています。攻撃者がIoTデバイスのハードウェアに物理的にアクセスできれば、そのデータを盗み出したり、デバイスを乗っ取ったりすることができます。この方法では、一度に1台のデバイスに影響を与えることしかできませんが、攻撃者がネ��トワーク上の他のデバイスを侵害できる情報を手に入れた場合、物理的な攻撃はより大きな影響を与える可能性があります。

IoTデバイスはDDoS攻撃でどのように利用されるか?

悪意のある者は、保護されていないIoTデバイスを使用してDDoS攻撃に使用するネットワークトラフィックを発生させることがよくあります。DDoS攻撃は、攻撃者が標的に対して広範なデバイスからトラフィックを送信する場合、より強力なものになります。このような攻撃は、非常に多くのIP アドレス(各デバイスに1つのIPアドレス)が関係するため、ブロックすることは困難です。過去最大のDDoSボットネットの1つである ボットネット「Mirai」は、その大部分がIoTデバイスで構成されています。

IoTデバイスのセキュリティの主な側面とは?

ソフトウェアおよびファームウェアのアップデート

IoTデバイスは、製造元から脆弱性パッチやソフトウェアアップデートが発行されるたびに、更新する必要があります。これらのアップデートは、攻撃者に悪用される可能性のある脆弱性を排除するものです。たとえ数日前の古いものであっても最新のソフトウェアがインストールされていない場合、デバイスの攻撃に対する脆弱性が上がります。多くの場合、IoTのファームウェアの更新は、デバイスの所有者ではなくメーカー側が管理しており、脆弱性のパッチを確実に適用することはメーカー側の責任となります。

クレデンシャルセキュリティ

IoTデバイスの管理者の資格情報は、可能であれば更新する必要があります。最も良い方法では、複数のデバイスやアプリケーションで認証情報を使いまわすことを避け、各デバイスに固有のパスワードを設定する必要があります。これは、クレデンシャルベースの攻撃を防ぐのに役立ちます。

機器認証

IoTデバイスは、デバイス同士やサーバーなど、さまざまなネットワーク機器と相互に接続されています。接続される機器には、不正な者からの入力や要求を受け付けないようにするための認証が必要です。

例えば、攻撃者がIoTデバイスになりすましてサーバーに機密データを要求しても、サーバーが始めに本物のTLS証明書(この概念については後述します)の提示を要求すれば、この攻撃は成功しません。

ほとんどの場合、このタイプの認証はデバイスの製造元が設定する必要があります。

暗号化

IoTデバイスのデータ交換は、暗号化によってデータを保護しない限り、ネットワークを通過する際に外部からの攻撃や中間者攻撃に対して脆弱です。暗号化は、郵便局を通過する際に手紙の内容を保護する封筒のようなものだと考えてください。

中間者攻撃を完全に防ぐには、暗号化と認証を組み合わせる必要があります。そうしないと、攻撃者によって2つのIoTデバイス間に別の暗号化した接続が確立された場合、どちらも自分たちの通信が傍受されていることに気づかない可能性があります。

不要な機能をオフにする

ほとんどのIoT機器には複数の機能が搭載されていますが、その中には所有者が使用しないものもあります。しかし、機能が使用されていない場合でも、使用する場合に備えて、デバイス上で追加のポートが開いたままになっていることがあります。インターネットに接続されたデバイスに開いているポートが多ければ多いほど、攻撃対象領域が拡大します。多くの場合、攻撃者はデバイス上のさまざまなポートにpingを打ち、開いている口を探します。不要な機能をオフにすることで、これらの余分なポートを閉じることができます。

DNSフィルタリング

DNSフィルタリングは、Domain Name Systemを使用して、悪意のあるWebサイトをブロックするプロセスです。IoTデバイスが存在するネットワークにセキュリティ対策としてDNSフィルタリングを追加することで、これらのデバイスがインターネット上の本来アクセスすべきでない場所(攻撃者のドメインなど)にアクセスすることを防ぐことができます。

相互TLS認証(mTLS)とは?

Mutual Transport Layer Security(mTLS)は、ネットワーク接続の両側が相互に認証する際に使用する相互認証の一種です。TLSクライアントサーバー接続においてサーバー側を検証するためのプロトコルです。mTLSでは、接続されたデバイスの一方だけでなく双方の検証を行います。

mTLSは、正当なデバイスとサーバーだけがコマンドを送信したりデータを要求できることを保証するため、IoTセキュリティにとって重要です。また、ネットワーク上のすべての通信を暗号化し、攻撃者が傍受できないようにします。

mTLSでは、認証されたすべてのデバイスとサーバーにTLS証明書を発行する必要があります。TLS証明書には、デバイスの公開鍵、証明書の発行者などの情報が含まれています。ネットワーク接続を開始するためにTLS証明書を提示することは、個人がIDカードを提示して自分の身元を証明することに例えることができます。

CloudflareはIoTデバイスのセキュリティにどのように役立つか?

Cloudflare API Shieldは、強力なクライアント証明書ベースのIDと厳格なスキーマベースの検証を使用してIoT APIを保護することにより、IoTデバイスを保護します。Cloudflare API Shieldの詳細についてご覧ください

Cloudflare Zero Trustは、IoTデバイスと、組織の他のコンピューティングリソース(従業員のノートパソコンや社内サーバーなど)の両方でmTLSをサポートしています。Cloudflare Zero Trustを使用したmTLSのインストール方法の詳細について当社のドキュメントをご覧ください 。または、 mTLSの詳細についてご覧ください