FFRI 鵜飼氏が考える、攻撃者からみた 5G と IoT セキュリティのこれから | ScanNetSecurity
2024.05.23(木)

FFRI 鵜飼氏が考える、攻撃者からみた 5G と IoT セキュリティのこれから

5Gの特徴は、一般に高速(高帯域)、低遅延、同時多数接続と言われている。データの転送速度は20Gbps/10Gbps(下り/上り)というスペックスピードを持ち、伝送遅延は1ミリ秒以下。このハイスペックさは、DDoSの攻撃能力をさらに高めることができる。

研修・セミナー・カンファレンス
FFRI 鵜飼氏が考える、攻撃者からみた 5G と IoT セキュリティのこれから
  • FFRI 鵜飼氏が考える、攻撃者からみた 5G と IoT セキュリティのこれから
  • 増え続けるIoTデバイス
  • WiFiプロトコルに発見された脆弱性:FragAttacks
  • 攻撃者からみた5Gネットワーク
  • エッジコンピューティングやAIも標的にされる

 IoT デバイスの爆発的な増加は、特有のセキュリティ問題を引き起こす。たとえば、いまやボットネットを構成するデバイスは PC ではなく Web カメラやルーターに移っている。これに伴い桁違いなトラフィックの DDoS が可能になったり、防御戦略の立て直しが必要になったり、新たな課題も浮上している。

 IoT セキュリティを考えるうえで、5G もまた攻撃者の攻撃ポイント、攻撃経路になることを忘れてはならない。株式会社FFRIセキュリティ代表取締役社長 鵜飼 裕司 氏は、SecurityDays Fall 2021 で「 IoT のサイバーセキュリティを取り巻く技術とその脅威の展望 2021 」と題する講演を行った。本稿は昨秋のこの講演の重要ポイントを蔵出しでお届けする。改めて 5G の問題を棚卸ししてみたい。

◆ IoT セキュリティの課題:攻撃者にとって費用対効果が高い

 IoT についていまさら説明は不要かと思うが、推計では世界中に 300 億台を優に超えるデバイスがインターネットに接続していると言われている。家電、ガジェットはいうに及ばず、ファミレスの端末、小売店の端末、カーナビや自動車など台数も用途も広がっている。消費者が目にしないところでは、工場やビル設備、交通機関やインフラも IP Reachable が当たり前だ。ドローンや航空宇宙分野も例外ではない。

 攻撃者からみると、IoT デバイスはクラウドや PC のように守られた存在ではないことが多く、狙いやすい標的でもある。まず、PC やスマートフォンのようなセキュリティアップデートや脆弱性管理が行き届かない。インターネット接続が比較的新しいため、設計・出荷時のセキュリティ設定が甘い(共通パスワード、アカウントのハードコード、メンテナンス用バックドア)。

 また Shodan のようなツールを使えばアクセス可能な IoT デバイスがすぐに見つかる点も攻撃者フレンドリーである。必要なら、搭載 OS のバージョンまでも選別してくれる。なお、Shodan は違法サイトではなく、脆弱な IoT デバイスを調査・発見するためのものだ。本来の用途なのだ。

 そしてなにより、IoT デバイスというのは世の中に大量にばら撒かれている存在だ。アップデートがしにくい、セキュリティ機能が弱いなどの特徴は、制御システムセキュリティ(SCADA)にも通じる課題だが、大きな違いは IoT デバイスの数だ。ハッカーにとっての踏み台やセーフハウス(隠れ家)のような存在が、ネット上の数十億、数百億という単位で転がっているのだ。

 鵜飼氏いわく「 IoT デバイスは費用対効果が非常に高い標的」なのである。


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. 世界で最初にXDRを提唱した男のビジョンとは? パロアルトネットワークス講演

    世界で最初にXDRを提唱した男のビジョンとは? パロアルトネットワークス講演

  3. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

  4. 新しい総務省ガイドラインに適合する「クラウドのデータ消去」とは? 自治体で行われた実証実験 結果報告

  5. AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説

  6. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  7. エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

  8. ヤフーとドコモ、「偽メールを止める」と「正しいメールを正しく認知してもらう」の両立を図るための、DMARC、BIMI、そして独自の取り組み ~ JPAAWG 5th General Meetingレポート - 1

  9. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  10. 中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×