2017年の「セキュリティ10大脅威」に「IoT機器」が初めてランクイン
情報処理推進機構(IPA)が1月31日に発表した「情報セキュリティ10大脅威 2017」に、初めて「IoT機器」についての脅威が初めてランクインしました。
▼2017年版のセキュリティ10大脅威、IoTが初のランクイン - ITmedia エンタープライズ
以下、記事より抜粋。
"また、IoT機器に関する脅威が組織では8位に、個人では10位にそれぞれ初めてランクインした。マルウェア「Mirai」に感染した多数のIoT機器が非常に大規模なDDoS(分散型サービス妨害)攻撃の踏み台されたことを受け、組織では「IoT機器の脆弱性の顕在化」、個人では「IoT機器の不適切管理」を挙げている。"
IPA 「情報セキュリティ10大脅威 2017」より引用
今や「IoT」のニュースを見ない日はありません。そのIoT機器が普及するにつれ、セキュリティリスクも増大していくのは間違いないでしょう。
上記記載にある通り、昨年(2016年)マルウェア「Mirai」による史上最大級のDDoS攻撃が話題となりましたが、そのソースコードが公開され、さらに感染は拡大しています。
"Miraiが標的とするIoTデバイスはデジタルビデオレコーダー(DVR)が約80%を占め、残りはルーターやIPカメラ、Linuxサーバなどが占める。こうしたデバイスの多くはパスワードがデフォルトのまま変更されないという弱点が悪用された。"
この問題に対し、IoT機器を使用するユーザー自身がIDやパスワードを変更する......というのは現実的ではありません。Miraiの件では、該当するIoT機器のメーカーがリコールに迫られるという事態にもなっています。
TechFactoryでも先日以下のような記事を掲載しましたが、IoT機器を開発する側が積極的にセキュリティ対策をしていく必要があるでしょう。
とはいえ、何でもかんでも開発者側が頑張る、というのも限度があります。
セキュリティベンダーのトレンドマイクロの専門家ブログでは、こうしたIoT機器の脅威に対して、「政府規制が導入される可能性」と「IoT機器開発者がセキュリティリスクを認識する」ことの2つの側面により、将来的には改善されると見ています。
▼「Mirai」によるDDoS事例からIoTの「エコシステム」を考察する
問題は、その対策と改善が、どの程度被害が広がる前に適応できるか、という点でしょうか――。