脆弱なパスワードが IoT を破滅に追い込む?

記事をシェアする:

脆弱なパスワードは、あらゆる組織のセキュリティーに被害を及ぼし、デバイスのハッキングにつながる恐れがあります。IoT (モノのインターネット) セキュリティーにおいても、このようなパスワードは最大の弱点にもなるのでしょうか? 確かなことは、脆弱なパスワードは、IoT デバイスを展開する企業がサイバー攻撃の被害にあうリスクを高めているということです。

IoT デバイスを標的とする攻撃は既に随所で確認されており、侵入手段として脆弱なパスワードが狙われています。2019 年には、脅威アクターがパスワード管理の甘さに乗じて、プリンターや電話といった一般的なオフィスの IoT デバイスを狙いました。2020 年には、IoT 攻撃でルーターが標的になり、ハッカー・フォーラムで51万以上にもおよぶIoTデバイスなどの認証情報をハッカーが公開して話題になりました。

脆弱な (そしてハッキングされた) パスワードには、製造業者が使うデフォルト・パスワードも含まれていました。これらのパスワードは、 一見したところIoT のセキュリティー・レベルをあげるかのように見えますが、実際には、箱から取り出した時点でデバイスにパスワードが設定されているのだからセキュリティー対策は十分だとユーザーに錯覚させるだけの効果しかありません。こうした状況は、悪意のあるアクターが簡単に侵入できてしまう防御の甘いエンドポイントがさらに攻撃対象となる土壌を生み出すことにつながります。

パスワード管理を改善しなければ、IoT セキュリティーはあっという間に持続不可能になる恐れがあります。

脆弱なパスワードは開発中から始まる

IoT はホットな商材となっています。2020年1 月に米国で開催されたCES (コンシューマー・エレクトロニクス・ショーでは、IoT デバイスがあらゆる場所で、考えられるすべての形態で紹介されていました。スマート・テクノロジーは想像できるすべてのものに組み込まれるところまで来ています。こうしたデバイスを他社に先んじて消費者に届けようと各社躍起になっています。

「メーカーは、スマート・デバイスをできるだけ早く市場に出すことに焦点を当てていますが、IoT の可能性を利用するこの競争では、セキュリティーが全く考慮されないことがよくあります。」と Enzoic 社 CEO の Michael Greene 氏はメールで説明しています。

こうした製造業者にとって、パスワード・セキュリティーに限らず、あらゆるセキュリティーの優先度はどれほど低いのでしょうか。

「多くのコネクテッド・デバイスがデフォルトのパスワードを標準装備として出荷されています。中国では、デフォルトのパスワードを「123456」と設定した 600,000 台の GPS トラッカーが製造されたケースがありました」と Greene 氏は話します。政府は IoT のセキュリティーを高優先度の問題とは見なしていないため、デフォルト・パスワードだけでなく、そもそも IoT デバイスにセキュリティーを組み込む必要性については、現在のところ最低限のレベルでしか規制されていない状況にあります。つまり、こうしたデバイスを保護する責任は、ユーザーと IT 部門の肩にかかっているのです。

しかし、ユーザーと IT 部門はそのレベルに達していません。Greene 氏によると、ここで必要なのは、単にデフォルト・パスワードを置き換えることに限りません。パスワード管理全体をよりスマートにするための作業も必要です。これが必要であることは、約 60%のユーザーが複数のデバイスや Web サイトなどのアクセス・ポイントで同じパスワードを使用しているという事実からも明らかです (LogMeInの調査より)。

Greene 氏はさらに次のように語っています。「このような環境では、ハッカーは以前に漏えいしたパスワードを流用して、他のシステムやデバイスに容易にアクセスすることができます。」IoT セキュリティーが最初から差し迫った懸念事項と見なされず、開発と販売のエコシステム全体で対応されていない現状が改善されなければ、パスワード管理の甘さとその脆弱性により、今後ますます多くのスマート・デバイスが攻撃の標的となると彼は確信しています。

IoT セキュリティーは全員の責任

この状況を簡単に変えることは難しいといえます。ユーザーはパスワードに関して自分のやり方にこだわりますし、IT 部門は多くの場合 (企業が多数のデバイスの管理を抱えている場合は特に) IoT パスワードの監視の必要性よりも、急を要する課題を抱えています。

しかし、Check Point Software Technologies 社のサイバー・リサーチ・リーダー Yaniv Balmas 氏は、ニューオーリンズの CPX360 で、IoT は脅威の全貌全体で重要な地位を占めつつあると語りました。現状では、これらのデバイスのセキュリティー・レベルは比較的低いままですが、デバイスのセキュリティーを改善するには、開発側 (この場合、コストは通常消費者の負担になります) でもユーザー側でもコストがかかります。

Balmas 氏はさらに「コストがまずは優先されがちです。私たちはより安価な商品を求めます」と語っています。

しかし、IoT デバイスの保護に関して言えば、まだ望みはあります。企業は認証に関して、パスワードを超えるソリューションに取り組み始めています。例えば Amazon 社は、店舗の自動支払機に生体認証方式を連携させることを検討しています。これは顧客が手のひらによって ID を検証し、それがクレジット・カードやデビット・カードにリンクされるというものです。もう 1 つの前進は UL (旧称: 保険会社研究所) で導入された IoT セキュリティー・レーティング・プログラムです。UL 検証マークは、消費者に、セキュリティーのリスクと、多様な IoT デバイスに関連付けた標準について、注意を促します。

メーカーは開発段階でセキュリティーをもっと重要視する必要があり、企業は最先端の認証オプションが利用可能になったら採用する必要があります。それまでは、IoT デバイスの安全を確保する上で鍵を握るのは、ユーザーと企業のセキュリティー・ポリシーです。それには、簡単な最初の一歩、つまり今すぐデフォルトのパスワードを強力で固有なパスワードに変えることが必要です。IoT デバイスで脆弱なパスワードを使用し続ける限り、企業のネットワークとデータを不要なリスクにさらすことになるのです。

【関連情報】

IBMのIoT/OTセキュリティーソリューションの概要はこちらから

統合エンドポイント管理のためのAIアプローチはこちらから

IDとアクセス管理に関するIBMのサービス概要はこちらから

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

Sue Poremba

Sue Porembaは 2011年に、記事、ブログ投稿、SEO、Q&A、プロフィールなど、ブランデッド・コンテンツ/コンテンツ・マーケティングの領域で執筆を開始しました。専門分野はサイバー・セキュリティーとテクノロジーで、さまざまな垂直型産業のためにこれらを取り上げています（結局のところ、テクノロジーに依存せず、セキュリティー・システムを必要としない業界などないですね？）。ブランデッド・コンテンツのセキュリティーとテクノロジーについて取り扱っていた数年間にわたり、クラウド・コンピューティング、モバイル、ビッグデータ、IoTなどのテクノロジーとセキュリティーとの関係性を最前線から見続け、この分野では評価の高いレポーターです。最近では、Onalytica社からサイバー・セキュリティーの領域でトップ25 のインフルエンサーとして指名されました。セキュリティー業界の専門家およびマーケティング担当者との人間関係から、最新のニュースやソースをすぐに利用でき、迅速なインタビューを実施することができました。執筆記事は、IT Business Edgeでのセキュリティー関連のブログに加え、Tom’s Guide、Forbes、Dark Reading（代作者として）、CIO、CSO、Security Magazine、USA Todayなどの刊行物に掲載されました。これまでコンテンツを執筆したことのあるブランドをいくつか例として挙げると、Hewlett Packard Enterprise社、IBM社、SungardAS社、Citizens Bank社、Verizon社、Microsoft社、Kaspersky Lab社、TruSTAR社、Fortinet社、LogMeIn社などがあります。

この記事は次の記事の抄訳です。

https://securityintelligence.com/articles/will-weak-passwords-doom-the-internet-of-things-iot/（英語）