Cover Image

IoT を制御できなくなる日がやってくる可能性
2023/9/19 - 読み終える時間: ~1 分

Losing Control of Your IoT - A Cautionary Tale の翻訳版です。

IoT を制御できなくなる日がやってくる可能性

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

テクノロジーに非常に精通していると、できるという理由だけで特定の課題に挑戦したくなるものです。 これは、HCLTech の一部門である Aleph Research のセキュリティ専門家 Lev Aronsky 氏と Idan Strovinsky 氏の場合に当てはまり、彼らは Electra Smart エアコン コントローラーのハッキングに着手し、最終的には IoT セキュリティの混乱を暴露することになりました。

私たち皆が学ばなければならなかったように、モノのインターネット (IoT) は、その言葉通り多様で混沌としたものです。 エアコンを含むあらゆる種類のデバイスはネットワークに接続され、アプリを使用して制御できますが、個々のデバイスでいっぱいの家を管理するために各メーカーの個別のアプリを使用するのはおそらくかなり非効率です。 したがって、アロンスキー氏とストロビンスキー氏が説明するように、「私たちの誰かがスマートエアコンコントローラーを備えたアパートに引っ越したとき、それをハッキングして、オープンソースのホームオートメーションソフトウェアであるホームアシスタントと連携させることが最優先されました。」

彼らがハッキングを開始したコントローラーは、専用アプリを使用して Wi-Fi ネットワークに接続し、エアコンユニットを制御します。 彼らの探求の最初のステップは、代わりにローカル ネットワーク経由でアクセスを取得することを目的として、コントローラーとのインターフェイスを可能にする統合とライブラリを探すことでした。 しかし、調査が進むにつれ、コントローラーがリモート サーバーとどのように通信し、コントローラーの動作をどのようにしてユーザーの望み通りに曲げることができるのかを段階的に調べていくうちに、本当に厄介なものを発見したことに気付きました。それは、「明らかなセキュリティ脆弱性の集合体であり、 他の問題の中でも特に、コントローラーのユーザーがインターネットから完全に乗っ取られる危険にさらされました。」

たとえば、自分のエアコンに加えて、IP アドレスや詳細な状態を含む「何百ものエアコン ユニットを確認できる」ポイントが到着しました。 「これは重大なプライバシー問題でしたが、最悪の事態はまだ待っていました。」 追加の調査により、アプリを使用せずにエアコンを制御することに成功しましたが、他のエアコンも同様に制御でき、間違ったパスワードを使用したり、パスワードをまったく使用せずに制御できることもわかりました。 彼らの要約では、「インターネット経由で誰でもアクセスできる MQTT サーバーがあり、ネットワークに接続されている Electra Smart エアコンを制御する権限を与えられた匿名ログインが可能でした。」

彼らが明らかにした新たな恐怖(はい、もっとありました)と、それを修正しようとして彼らが直面した抵抗、どちらがよりひどいのかを知るのは困難です。 しかし、彼らの研究は明らかに、より大きな疑問を示しています。 大小、重要でない、または重大な大小を問わず、発見された種類の脆弱性の影響を受けている IoT デバイスは何台あるでしょうか? そして、彼らを追い出すには何が必要でしょうか?

IoT に関してこれらの疑問が最優先されることはほとんどありませんが、これらの疑問は簡単ではありません。 IoT デバイスのセキュリティの脆弱性は、個人、組織、さらにはインフラストラクチャに重大なリスクをもたらす可能性があります。 これらは、IoT に特有の要因の組み合わせによって発生し、サイバー攻撃の主な標的となります。

  • IoT デバイスの処理能力とメモリが限られていると、暗号化が弱く、認証が不十分で、セキュリティ アップデートが不十分になる可能性があります。
  • 認証メカニズムとパスワードが弱いと、権限のないユーザーがデバイスやシステムを自由に操作できるようになる可能性があります。
  • 市場に急遽投入されたデバイスのファームウェアの設計が不十分で、テストが不十分だとセキュリティ リスクが増大する可能性があり、一方、古いソフトウェアは既知の悪用可能な脆弱性の影響を受けやすくなります。
  • IoT デバイスは機密データを収集することがよくあります。 適切に保護されていない場合、この情報は傍受されたり盗まれたりする可能性があり、関係者全員に重大な結果をもたらす可能性があります。
  • デバイスとエコシステムの極端な多様性が主な原因で、IoT では標準化されたセキュリティ実践が欠如しているため、一貫したセキュリティ対策を実装することが困難になっています。
  • IoT デバイスへの物理的なアクセスも、セキュリティを侵害する可能性があります。たとえば、センサーや接続の改ざんにより、データ操作が可能になったり、デバイスの誤動作が発生したりする可能性があります。
  • 暗号化されていない通信、弱いファイアウォール、中間者リスクなど、ネットワーク セキュリティが不十分であると、IoT デバイスがさまざまな脅威にさらされる可能性があります。
  • 最後に、IoT デバイスの製造に典型的な複雑なサプライ チェーンでは、ハードウェア コンポーネントからソフトウェアの統合に至るまで、さまざまな段階で脆弱性が発生する可能性があります。

IoT の状況が拡大し続けるにつれて、セキュリティ上の懸念が重要な考慮事項となっており、IoT の脆弱性に関連するリスクを軽減し、より安全で回復力のある IoT エコシステムを構築するには、メーカー、規制当局、サイバーセキュリティの専門家間の協力的な取り組みが不可欠です。 Aleph Research チームのようなグループの活動は、その取り組みへの重要な貢献であり、HCLSoftware が誇りを持ってサポートしているものです。

HCLSoftware は、アプリケーション セキュリティ テスト プラットフォームとソリューションの包括的なスイートである HCL AppScan を含む、業界をリードするエンタープライズ セキュリティ ソフトウェアのプロバイダーです。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki BigFix Workspace branding CAA Client Applicatin Access cloud Cloud Apps Cloud Native Commerce Common Local License Server community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections CVE-2021-44228 developerWorks DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Plan DevOps Test DevOps Velocity Digital Experience document Doino Volt Domino Domino AppDev Pacl Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U hints_and_tips history HTMO IBM_i ID_Vault iNotes ios ios13 ipad iPhone IZSAM KEEP Launch Launch.DevOps Leap Link logo MarvelClient mobile mui nds2019 ndv12beta News Noets/Domino Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion Notes/Domno notescons Now on_premises OneDB OneTest OnTime osaka press_release relay REST RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Webinar win7 Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb うるう年 イベント ウェビナー ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス パートナー ベータ ポートフォリオ ライセンス 九州地区 Notes パートナー会 互換性 出荷日 各種ご案内資料 研修