CISO

IoTが奏でるラブストーリー:離れても、決して切れることはない・・・

本記事の筆者

チャールズ・ヘンダーソン | IBM X-Force Red
幼少時代より、何かを作ることより分解することの方が得意であったチャールズは、その性格を武器にペンテスターとしてセキュリティーのキャリアを積む。現在、脆弱性テストを行うホワイト・ハッカー集団、「IBM X-Force Red」のヘッドを務める。

あるIoTについての「ラブストーリー」

これからお話しする内容は、私のプライベートとセキュリティー・リサーチの世界が交わった、実話です。いわゆるドロドロしたものではありませんが、「ラブストーリー」とも言えるでしょう。

以前、私は「イケてる」オープン・カーに乗っていました。その車で、髪をたなびかせ、ラジオから流れるThe Black Keysの音楽を聞きながら、オースチン(米国)のドライブを楽しんだものです。
それから子どもができ、子どもの頭上を守る屋根付きの車を持とうと決意しました。家と同じく、車も子どもを守るために大事なことですから。
本心はできればそうしたくはないが、子どもの親としてそのオープンカーを下取りに出す決意を、妻に伝えました。
私のお気に入りのオープンカーは、中古車業者に渡り、同じメーカーの「キッズ・フレンドリー」なタイプの車に乗り換えました。

私は、セキュリティーの研究者ですので、なににでも懐疑的な性格と言えます。
先ほどの車を売る時も全ての個人的な情報は削除し、電話帳もリセットし、接続機器も全て切断し、ガレージドアの開閉装置もリセットしたのです。中古車業者も同様に幾つかのステップをし、発行された鍵も全て戻されたことを確認していました。

業者が同じプライバシーについてのマニュアルで対応しており、自分のプライベートな情報が電話帳から削除されているのを確認していたので、安心しました。
ラッキーなことに次の新しい車にも、私のモバイル・デバイスをつなぐ同じコネクテッド・カー管理アプリを搭載していました。家に帰ると、私はそのアプリをアップデートし、アプリ中のリストにまだ古い車が出てくることに気づいていました。しかし、あまりそのことをその時深く考えはしなかったのです。リストが最新になるまでのプロセス過程だと考えていただからです。
そのうち、なかなかリストから古い車がなくならないなと思い始めました。ついには数年経っていました。私の前の車を買った現在の持ち主が、モバイル・アプリを登録できていないのは明らかでした。
私の好奇心のスイッチが入りました。製造業者は、彼らに収益をもたらす最初のオーナーのためだけに、Internet of Things (IoT) 機能 をデザインしているのだろうか。

IBMセキュリティーから最新情報を受け取りませんか?

IBMセキュリティーは、年数回のレポートの発行、無料Webセミナーやイベント、ブログなどをお届けしています。Eメールアドレス登録して、今後もIBMセキュリティーから最新情報を入手してください。

 

中古のIoTセキュリティーについて

最初の所有者は、ほとんどの製品の価値を活用します。特にIoTデバイスの製品寿命は、オーナーが変わっても続くことは予想されていません。私の車のことを置いても、インターネット・ベースのテクノロジーについて、乗り物に限ったこととはないのです。
X-Force Red で働くDavid Bryanは、最近中古のホームオートメーション・ハブを購入しました。彼は、セキュリティー・テストのプロであり、脆弱性の研究者でもあります。そのため、テクノロジーやセキュリティーに一般消費者よりも懐疑的と言えるでしょう。まずDavidがそのハブでやったことは、ファクトリー・リセット、つまり工場出荷時設定に戻しました。しかし、彼がセットアップをしたところ、管理画面にリストされたデバイスは、彼のものではなかったのです。
他のリセット方法も実施した後、彼はカスタマー・サポートに問い合わせをしました。最初に聞かれたのは、「ファクトリー・リセットはされてみましたか?」。
このケースでわかったのは、ファクトリー・リセットはデバイスのセッティングをクリアにするだけで、クラウド上で管理されるデバイスのアカウントには及ばないということです。
2週間ほど事態に進展がなかった後、カスタマー・サポート・チームが不要なデバイスを除き、ハブにアクセスするセカンド・デバイスも取り除くべきかをDavidに尋ねてきたのです。管理コンソールでDavidはセカンド・デバイスなど見たこともありませんでした。まるで、あるユーザーが管理セッティングをチェックしていて、全てのセキュリティーが安全と判断し、サポートチームには見えない承認されたデバイスがまだ存在するようでゾッとします。

製造業者にとっての新しいチャレンジとは

この手のタイプのセキュリティー・リスクについて、ユーザーの意識は比較的低いものです。あるIBM が実施したセキュリティー・調査 によれば、カーナビのデータを守る意識が最も低く(8パーセント)、ホームデバイス(10パーセント)、コネクテッド・カメラ (16パーセント)に続きます。これは、モバイルデバイスについて64パーセントが意識しているという事実に比較すると顕著に低いと言うことができます。
コネクテッド・カーに話を戻すと、業者は車の鍵を集めることにはとても意識が高いのです。私が車を売った後リモートアクセスした製造業者が「鍵を所持し続けるのと同じようなことです。」と言っていました。しかし、鍵は地理位置情報など組み込まれてはいません。事実モバイル・デバイスは、鍵のような単純なものよりよっぽど危険なのです。
根本的に、実際のところこれは新しく出てきた問題ではありません。テクノロジー業界以前に、所有者が変わることで複雑な問題が起き得ます。携帯電話が出てきた頃を思い出してください。人々が新しいデバイスに買い替える時、古い電話には個人情報は残されたままでした。どう削除されればよいかわかりませんでしたし、困惑する状況がいくつかありました。しかし教育や顕著なファクトリー・リセット・メソッドにより、電話製造業者や通信業者はモバイル・デバイスをリセットする方法を標準化したのです。
今日、IoT デバイス製造業者はこの例を取り、ファクトリー・リセットについての標準を定義を確立する必要があると思います。そして、ファクトリー・リセット後もなおクラウド上にどのようなデータが存在するのかを、ユーザーたちに公表する必要があるのです。

ユーザーと同じくスマートなデバイス

いくつかの業界は、これらのIoTセキュリティーの課題の正面に立って取り組んでいます。The National Association of Realtors (全米リアルター協会)は、スマート・ホーム・デバイスのテストをするだけでなく、家の販売の一部のように、適切にそれらのデバイスを譲渡するかについても対応しています。
スマート・ホーム・デバイスは巧妙です。スマート電球は、一般の電球と同じようにデザインされているからです。消費者は、ルック&フィールが同じことを好みます。しかしそれは同時に、新しい家主はコントロールできない何十というスマート・デバイスとともに住むことも意味しています。
IoTデバイスが所有者を変えるなんて、奇妙な時代に私たちは生きています。これらのデバイスは、他の所有者に売られるなんてことを想定していないのです。しかしより大きな問題は、消費者の多くがIoTを兼ね備えた製品を買ったことに気づいていないことです。
車のシートベルト通知がされるような初期の頃を思い出してください。警告音がなり続けているだけでなく、その音でシートベルト着用が促されました。10日間連続でコントロール・アプリにログインしていなかった時に、ライトが警告してくれることは、シートベルトと同じようなことだと思うのです。課題についてまさに創造的なアプローチだからです。

率直な対話の必要性

明らかに私や私のチームは、IoT セキュリティー の何が問題かを調査してきましたが、私たちの才能は、作り上げることより壊すことを対象にしていることにも気づいています。真のIoTセキュリティーへの道は、製造業者、リセラー、セキュリティー研究者、そして消費者の間でなされるオープン・ダイアログ(率直な対話)を必要としていると言えます。
差し当り、IoTの消費者は、ご自身の安全のため次に挙げることを対応いただければと思います。

  • ファクトリー・リセットが完全でなくても、実践として素晴らしいのです。
  • スマート・デバイスで、あなたが唯一の権限を与えられたユーザーとは思わないでください。実際に確認してください。
  • 小さいことでも、セキュリティー・テストをしてみてください。例えばデジタル・トイで遊んでみて、何か問題はないか確認してみましょう。
  •  

    [関連] 本記事筆者チャールズ・ヘンダーソンによるRSA Conference TVでのスピーチ

    おすすめの関連記事

    関連資料:IoTアプリケーションのセキュリティーに関する調査 (2017 年)
    IoTを安全に導入する為の4つの留意事項
    IoT(モノのインターネット)特集


    Written by Masako Nakamura – IBM Security Portfolio Marketing

    (出典:Security Intelligence より訳出 “An IoT Love Story: Always Apart, Never Disconnected” By Charles Henderson 2017年2月17日)

さらに詳しく CISO 記事
2017-10-16

相互につながる社会、相互につながるセキュリティー IBM Japan Security Forum 2017

2017年10月4日(水曜日)、IBM Japan Security Forum 2017が開催されました。 […]

さらに読む

2017-10-11

日本情報通信様におけるIBM QRadar活用事例のご紹介 導入前と導入後で何が変わったのか?

Webセミナーのご案内 自社のセキュリティ向上のためにIBM Security QRadar SIEMを導入し […]

さらに読む