1800年代、その後のアメリカ合衆国西部地方の無法状態を「ワイルド ウェスト」という言葉で表現しました。この言葉が、モノのインターネット (IoT) 時代の暗喩として再び使われるようになっています。開拓、ホームステッド法、富への展望と似たような問題に促され、IoTデバイスが西部開拓時代にその土地を歩き回っていた野牛と同じくらい当たり前の存在になりつつあります。あらゆる業界で膨大な種類のデバイスが導入され、様々なユーザー活動に提案されています。そして、それらが巨大ネットワークに組み込まれ、計り知れない量のデータを生み出しているのです。
McAfee Labsの専門家が、IoTの脅威、法規制、そしてベンダー対応の将来について議論した内容をMcAfee Labs 2017年脅威予測レポートにまとめました。IoTデバイスは、間違いなくネットワークの一部として見るべきでしょう。IoTをクラウドに接続するということは、脅威やその対応もまた、クラウドと密接に関わるということです。最も大きな問題として挙げられるのは、形式不明の脅威に対する恐怖の高まり、サイバーセキュリティ対策に無知なデバイス メーカーによる初歩的ミス、そして継続的な規制上の課題です。
高まる恐怖、一体何が怖いのか
IoTデバイスは、データソースまたは攻撃ベクトルとして、間違いなく犯罪行為を引きつけるでしょう。インターネットに接続されたIoTデバイスを足掛かりにしたデータ漏えいや、感染したウェブカメラからインターネット インフラストラクチャに対して行われた最近の分散型サービス拒否 (DDoS) 攻撃など、その兆しは既に確認されています。このように、攻撃を恐れるべき理由は十分にあるのですが、将来的にどのような攻撃が発生するのかは不明です。サイバー犯罪者の目的はお金ですが、こうしたデバイスの脆弱性を利用して、どのように利益を得るのかは分かっていません。攻撃者にとっては、デバイスの適切な作動を妨害するDoS攻撃など、ある種のランサムウェアが最も簡単にお金を稼げる方法であるため、まずはランサムウェアが最大の脅威になると予測しています。また、比較的セキュリティ対策が甘く、攻撃対象領域が広いIoTデバイスは、ハクティビストの主要ターゲットにもなります。
初歩的ミス
多くの企業が、効率化やデバイスの使用データ収集のために、社内デバイスにIP機能を導入しています。こうした企業の大多数はインターネット接続経験をほとんど持っておらず、デフォルトのパスワードを使用する (最近発生したDDoS攻撃のある種の原因)、不要な権限レベルを付与する、脆弱性にパッチを適用しない (あるいは、適用できない)、などの初歩的ミスを犯すことが予測されます。これらの企業はいずれ失敗から学ぶと思いますが、教訓を得るまで何年にも渡り、データ漏えい、攻撃、訴訟、規制などの痛みを伴うでしょう。
現在の規制上の課題と地域ごとの個人情報規範の違い
クラウドの時と同様、IoTデバイスが急速に導入されていることで、規制上の大きなギャップが生まれています。IoTデバイスを早期に導入したユーザーに関しては、まずは個人情報の懸念が法律を動かす最大の要因となるでしょう。個人情報に対する対応や規制は自治体ごとに異なり、IoTデバイスによってそれが悪化することは間違いありません。法整備がこれらの技術進歩に追いつくまでには時間がかかるでしょう。様々な事態やその結果発生する訴訟、デモ、ユーザーの反発、そして企業の説明責任が、自治体ごとに法制に様々な影響を与えるでしょう。IoT関連の規制の矛盾や不確定因子が多国籍企業にとって大きな問題となり、一部の市場ではIoTデバイスの導入そのものが規制されるかもしれません。
上記の内容を含むより詳しいIoTに関する予測については、McAfee Labs 2017年の脅威予測レポートをダウンロードしてください。
2017年度の脅威予測に関するインテル セキュリティ専門家の見解を得るには、こちらからご登録ください。(英文)
※本ページの内容は 2016年11月28日更新のMcAfee Blog の抄訳です。
原文: Welcome to the Wild West, Again!