IoTでは“セキュリティの悪夢”が起こり得る、専門家も警告

　モノのインターネット（IoT）では“セキュリティの悪夢”はいつ起きてもおかしくない。

　課題の1つは規模だ。Cisco Systemsは、「インターネットに接続される機器は2020年までに500億台に上り、クルマから家電まであらゆるモノがつながるIoE（Internet of Everything）市場規模は、19兆米ドルになる可能性がある」と予想する。

　だが、そこまでたどり着くまでにどれくらいのコストがかかるのだろうか。一番の問題は、何十億もの機器を最新のセキュリティパッチやファームウェアでアップデートし続ける方法に欠けているということだ。

　ATM事業を手掛けるNCRによれば、世界中にある220万台のATMのうち95％はWindows XPを搭載しているという。米国銀行協会（American Bankers Association）は、米国内で使用されている44万台のATMの大部分がWindows XPを搭載していると認めている。問題はこれらのWindows XPに、最新のセキュリティパッチが適用されているかどうかだ。PCI（Payment Card Industry）セキュリティ基準協議会に関わった経験を持ち、現在はTenable Network Securityに在籍するJeffrey Man氏は、「現在使用中のWindows XPシステムに、最新のセキュリティパッチが適用されていると考える人は少ないだろう」との見解を示している。

　情報セキュリティ関連製品を製造するベンダーでさえも、インターネットに接続する民生機器のセキュリティ機能を最新の状態で維持できていない。ネットワーク関連のセキュリティ事業を手掛けるTripwireの研究チームがAmazonの売れ筋トップ50のルーターを調査したところ、少なくとも74％の製品に何らかのぜい弱性があることが分かった。

ファームウェアのアップデート方法を知らない消費者たち

　だが、こうした脆弱な機器を保護するには、これらの機器向けにパッチを発表するだけでは不十分だ。Tripwireによる別の調査を通じて、調査対象となった消費者のうち68％がルーターのファームウェアのアップデート方法を知らないことが明らかになった。消費者がベビーモニターやWebカメラ、ドアの鍵、ホームオートメーションシステムをアップデートする必要にかられたらどうするのだろうか。

　「冷蔵庫などを介してスパムメールが発信される」という報道が話題になった。後にこれは間違いであることが分かったが、冷蔵庫が“ぜい弱な機器”としてネットワーク上にあったのは事実である。家電を介してサイバー攻撃を仕掛けることは、事実上可能なのだ。

　インターネットに接続された機器に慎重かつ信頼できる方法でパッチを適用できなければ、非常に危険な目的で悪用される恐れがある。

　さらに、コードが再利用されたケースであるメーカーの機器にぜい弱性が見つかった場合、競合製品も同じようなぜい弱性が見つかることは多々ある。つまり、全ての機器に早急にパッチを適用しなくてはならないということだ。

　だが現時点では、民生機器ベンダーがパッチを準備しても、そのパッチを提供する手段が欠けている。ベンダーは、ぜい弱な機器を全て見つけ、パッチを提供するための安全な経路を構築し、ファームウェアを提供する必要がある。

　このように、IoTはセキュリティの問題が山積しているのである。

【翻訳：青山麻由子、編集：EE Times Japan】

原文へのリンク