IoTを囲む状況

IoT機器は、テレビ、冷蔵庫、エアコン、時計、自動車、フィットネス機器、産業用機械など、さまざまなモノに使われています。毎月のように新しいスマートデバイスが登場していることはもちろん、これまでアナログだった機器もどんどんデジタル化し、インターネットに接続することでデータ連携をしています。

2020年には、ネットワークに接続するIoT機器が530億個に増加すると予測されており、ネットワークを経由したIoT機器へのサイバー攻撃の脅威が増大することが懸念されています。^※1
しかし、急速に普及が進んだこともあり、利用者や開発者のセキュリティへの意識は低い状況です。

※1：IoTセキュリティガイドライン（METI/経済産業省） https://www.soumu.go.jp/main_content/000428393.pdf

IoTセキュリティが必要な理由

セキュリティを重要視するのは、いくつかの理由があります。
例えば、IoT機器は、ひとたび攻撃を受けると、機器単体にとどまらずネットワークを介して関連するIoTシステム、IoTサービス全体に影響を及ぼす可能性が出てきます。特に、自動車や医療機器に攻撃の影響が及んだ場合、利用者が生命の危機にさらされる場面も想定されます。
カメラなどを通じて、プライバシーが侵害される危険性もあります。

また、IoT機器には10年以上にわたって使用されるものも多く、システム構築・ネットワーク接続時に適用したセキュリティ対策が時間の経過とともに時代遅れとなり、セキュリティ対策が不十分になった機器がネットワークに接続され続けることになります。そしてそれらの多くの危機へのパッチ適用も困難です。

実際に、上記の懸念の通り、IoTデバイスへの攻撃件数は、増加し続けています。
2019年の前半は、1億件を超える攻撃が検出されているというレポートもあります（2018年同期のほぼ9倍）。^※2
特に有名な事例では、2016年10月、DNSサービスプロバイダ「Dyn」が、DDoS攻撃^※3を受けるという事件がありました。セキュリティ対策が不十分なIoT機器に感染した不正プログラム「Mirai」が、世界中で何十万台ものビデオレコーダーやネットワークカメラに感染。一斉に攻撃を始め、インターネットを支えるインフラストラクチャーの重要部分を機能停止させ、多くの大手サイトが利用不能となりました。

※2：Over 100 Million IoT Attacks Detected in 1H 2019 (Infosecurity Magazine),
　https://www.infosecurity-magazine.com/news/over-100-million-iot-attacks/
※3：DDoS攻撃（Distributed Denial of Servise Attack）は、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取った上で、攻撃目標であるサイトやサーバーに対して大量のデータを送り付けることで行われる攻撃

IoTハッキング・セキュリティトレーニングの内容

このようなIoTの危険性を把握した上で、商品・サービスを考えることが必要になっています。
しかし、防御一辺倒の思考では不十分です。IoTデバイスには、さまざまな技術、アーキテクチャー、プロトコルがあり、攻撃手法も常に変化していることを考えると、最新の防御技術を知るだけではなく、侵入後の検知、対処、回復までの一連のプロセスを視野に入れたセキュリティ対策の実現が急務です。

今回のトレーニングでは、デモとハンズオンを通じて、いかに我々が攻撃を受ける側の常識が通じないか意識するとともに、セキュリティ担当者が企業の事業活動を守り抜くために、どのような考え方が必要なのか、考えるきっかけを作ります。

トレーニング講師：Aditya Gupta氏
100を超えるIoTデバイスの調査・テスト実績を持つ、Attify社のファウンダー

トレーニングの流れ

2019年のトレーニングの様子

トレーニング後

トレーニングが終わるころには、以下のようなことができるようになります。

トレーニングでは、IoT機器へのアプローチの考え方を重視しますので、コマンドが覚えられないということで焦る必要はありません。また、トレーニングで使用するキットはお持ち帰りいただけますので、トレーニング後も継続的に学習いただけます。

おわりに

本トレーニングは、企業のセキュリティ担当者だけでなく、商品を販売し、サービスを運用に関わる方にとって有意義なものとなっています。時期は未定ですが、今後も継続的にトレーニングを実施することがあると思いますので、ご興味がある方はお気軽にお問い合わせください。

この記事をシェアする