認証基盤とエッジデバイスへの攻撃の増加
あらゆるIT環境下でユーザー、デバイス、サービスに対して一元的にセキュリティ認証やユーザ承認を行うアイデンティティプラットフォーム上での大規模なデータ漏洩が、2018年は多く確認されています。一方、流出したデータは再利用されており、被害者は更なる悲劇を被ります。2019年には、大規模なソーシャルメディアプラットフォームが顧客情報を保護するために、追加対策を実施するとみています。ただし、プラットフォームの数が増えるにつれて、サイバー犯罪者は魅力的でデータが豊富な環境へこれまで以上にリソースを集中させるでしょう。犯罪者と大規模プラットフォームとの闘いが、次なる大きな戦場となるのです。
産業制御システム(ICS)を攻撃するマルウェアであるTritonは、敵対者が隣接するIT環境を介して遠隔地の向上施設を攻撃できる能力を実証しました。アイデンティティプラットフォームと「エッジデバイス」の情報漏洩は、敵対者が新たな遠隔ICS攻撃を開始するカギを提供することになるでしょう。設計上の制約のために安全なシステム要件を欠いている環境や制約されたエッジデバイスを通じて、固定パスワードを使用しているからです。(エッジデバイスとは、IoT製品内のネットワーク対応システムハードウェアまたはプロトコルのことです)。闘いが激化する中、我々は多要素認証と個人識別情報によるセキュリティの提供こそが最良の方法になると考えています。また、個人識別情報が多要素認証を補完してアイデンティティプラットフォームの機能を堅牢なものにすると予測しています。
アイデンティティは、IoTを安全に保つための基本要素です。ここのような環境下において、デバイスとサービスは信頼できるデバイスを確実に識別する必要があります。それによって、残りのデバイスを無視できるのです。アイデンティティモデルは、従来のユーザーを中心としたITシステムからマシン中心のIoTシステムへ移行しています。残念なことに、運用テクノロジーと安全でないエッジデバイス設計が統合されてしまい、IoTの信頼モデルは、見せかけの信頼と境界ベースのセキュリティという脆弱な基盤の上に構築されています。
Black Hat USAとDEF CON 2018では、30の講演でIoTエッジデバイスの悪用が議論されました。このテーマを扱った講演がわずか19だった2017年に比べ、大幅に増えています。主にICS、消費者、医療、「スマートシティ」関連の業種で関心が高まっています。(図1参照) 高速接続環境と組み合わさったスマートエッジデバイスがIoTエコシステムを実現していますが、その進化のスピードがむしろこれらのシステムのセキュリティを危険にさらしています。
図1:IoTデバイスのセキュリティに関するカンファレンスセッションの数は、脆弱な保護デバイスへの脅威の増加と同様に推移
ほとんどのIoTエッジデバイスは、自衛策(重要な機能、メモリ保護、ファームウェア保護、最小権限、セキュリティの初期設定)を提供しないため、デバイスは攻撃者の思うままになってしまいます。また、IoTエッジデバイスは、「いったん破られたら、まん延する」攻撃に悩まされています。多くのデバイスタイプで使用されている安全ではないコンポーネントが要因です。(WingOSとリバースエンジニアリングの記事を参照してください。)
McAfee Advanced Threat Researchチームのエンジニアは、医療機器プロトコルの悪用により、いかに人命が危険にさらされ、見せかけの信頼によって患者のプライバシーが漏洩しているかを実証しています。これらの実例は、敵対者が容易に目的を達成する方法としてIoTエッジデバイスにねらいを定めているシナリオのほんの一部にすぎません。この10年でサーバーは堅牢になりましたが、IoTハードウェアはかなり遅れています。敵対者の動機と条件(攻撃箇所とアクセス能力)を理解することによって、特定の攻撃ベクトルから独立した一連のセキュリティ要件が何であるかを明確にすることができるのです。
図2は、IoTエッジデバイスの脆弱性の種類を示し、デバイスを攻撃から守る上でエッジハードウェアにアイデンティティと統合機能を構築することが必要であると明らかにしています。
図2: 安全ではないプロトコルがIoTエッジデバイスの主要な攻撃口に
IoTセキュリティは最初からゼロトラストモデルと共に取り組み、ハッキングやシャック攻撃などの脅威から保護するために、ハードウェアの信頼されたルートを構成要素の中心的存在として提供するべきです。マカフィーは、スマートシティの広がりやICS活動の普及により、2019年にはアイデンティティプラットフォームとIoTエッジデバイスでのセキュリティ侵害が増加すると予測しています。
※本ページの内容は 2018年11月29日更新のMcAfee Blogの抄訳です。
原文: McAfee Labs 2019 Threats Predictions Report
著者: McAfee Labsより
協力:
オーエン・キャロル(Eoin Carroll)
テイラー・ダントン(Taylor Dunton)
ジョン・フォッカー( John Fokker)
ゲルマン・ランチョーニ (German Lancioni)
リー・マンソン(Lee Munson)
奥富幸大(Yukihiro Okutomi)
トーマス・ロッチャ(Thomas Roccia)
ラージ・サマニ(Raj Samani)
シェーカー・サルッカイ(Sekhar Sarukkai)
ダン・ソマー(Dan Sommer)
カール・ウッドワード(Carl Woodward)
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーやプレスリリースを編集して紹介する記事です。
■関連サイト
