ITmedia NEWS > 社会とIT > つながる世界の「安全神話」 アクセス制御が“徹底...

ITの過去から紡ぐIoTセキュリティ:つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケ (1/3)

» 2018年03月13日 07時00分 公開
[高橋睦美ITmedia]

 Internet of Things(IoT)の最大のポイントは、ネットワークを介して機器同士が、あるいは機器とクラウドサービスなどがつながること。これまで単体で動作してきた組み込み機器などがネットワークを介して互いにデータをやりとりすることで、今までは考えられなかった新しいサービスが生まれると期待されています。

 つまりIoTでは「つながる」ことが大前提です。そして、つながるに当たって何となく“ある思い込み”を持っている人が少なくありません。「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながり、不特定多数がつながることはない」というものです。

 ですが、それは安全神話に過ぎません。実際には、適切なネットワーク設定を実施していないと招かざる客、つまり不正アクセスを受ける可能性があります。

photo 写真はイメージです

 前回の記事で紹介した、史上最悪規模のDDoS攻撃をもたらしたマルウェア「Mirai」や、そのソースコードをベースにして生まれた「Hajime」「Satori」などの亜種も、アクセス制限が欠如したまま運用されていたIoTや組み込み機器をターゲットにし、感染を広げました。ということで今回は、安易なパスワード設定と並んでセキュリティリスクを招く、ネットワークアクセス制御に触れてみたいと思います。

連載:ITの過去から紡ぐIoTセキュリティ

 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。

 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。

つながる機器にも必須、ネットワークのアクセス制御

 Miraiやその亜種は、一時期ほどの勢いはないにせよ、いまだにネットワーク上で盛んに活動しています。こうしたマルウェアは拡散のため、

 「telnet」というネットワークサービスに使われる「TCP/23」をはじめいくつかのポートが外部からアクセス可能かどうかをスキャンします。いわゆる「ポートスキャン」と呼ばれる行為です。もし狙いのポートが空いていることが分かると、前回紹介した推測可能なパスワードを用いて不正ログインし、ボットをダウンロードさせたり、攻撃者の操るC2サーバと通信したりします。

       1|2|3 次のページへ

ITの過去から紡ぐIoTセキュリティ 連載一覧

次回の掲載をメールで受け取る

家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。

「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながる」――IoT機器が普及する一方、そんな“思い込み”を持っている人は少なくありません。不正アクセスの被害を軽減するには、適切なネットワークのアクセス制御が必要と分かっているのに徹底できない理由は。

高橋睦美 ()

Copyright © ITmedia, Inc. All Rights Reserved.

Special

- PR -

「残業するな」と言われて現場はヘトヘト……。時短ハラスメント(ジタハラ)に悩む企業も参考にしたい、「オレンジ」色のワークスタイルとは?

ネット広告が嫌われる=「自分に関係ない広告」だから。ユーザの興味関心に合わせたランディングページを見せればコンバージョン率は劇的に改善できる!そんなツールが…

楽譜も読めない初心者が、最新電子ピアノで「あの名曲」に挑戦してみた。40代の今からピアノを始めて、いったいどこまで弾けるようになる?

「AIは万能だ」──間違った知識を身に付けていませんか? AIの現状をいち早く知ることで、他社に差を付けるチャンスを掴めるかも。ビジネス活用の今がここに

「2020年までにクラウドでナンバーワンになる」は本当ですか? Oracle Cloudの「強み」「違い」をユーザー視点で聞いてみた。【Shift, Cloud】

内閣サイバーセキュリティセンター(NISC)に聞いたサイバー攻撃の脅威とは? ビジネス/技術/人の3視点でデジタルトランスフォーメーション【DX】を総力特集

7年ぶりにフルモデルチェンジした新型「日産リーフ」をデーブ・スペクターさんが体験。100%EVならではの加速感や自動運転技術に驚き! 試乗中の動画も必見です

Special

- PR -