10/09/2016

モノのインターネットからインターネットを守る必要がある

ブルース・シュナイアーのエッセイ。インターネットに接続するデバイスには、セキュリティ上の製造物責任の法的義務を負わせる必要があるのだろう。

Brian Krebsはサイバーセキュリティで人気の記者である。彼は定期的にサイバー犯罪やその戦術を暴露し、その結果としてしばしば犯罪者らの怒りのターゲットとなっている。先月、彼は二人の経営者の逮捕につながったオンラインの攻撃請負サービスについて書いた。その影響で、彼のサイトは大規模なDDoS攻撃によって停止させられた。

色々な意味で、これは何も新しいことではない。分散サービス不能攻撃はトラフィックを過負荷にすることで、ウェブサイトやその他のインターネットに接続されたシステムを機能停止をもたらす攻撃の類である。「分散」要素は、インターネット上の他の安全ではないコンピュータ(時には数百万)が知らずに攻撃に参加するボットネットに召集されることが重要である。その戦術は数十年前からある。DDoS攻撃は政府を困らせようとしたり、その戦略をテストしようと孤立したハッカーらによって実行される。防衛策はあり、有料のDDoS緩和サービスを提供する企業がある。

基本的に、規模対規模のゲームである。もし、攻撃側は防御側が耐えうる機能よりも大きなデータを吐き出す消火ホースを工面できるなら、攻撃側が勝つ。もし、防御側が攻撃に対する機能を高めることができれば、防御側が勝つ。

Krebsへの攻撃について何が新しいことだったのかというと、大規模かつ攻撃側が招集したのが特有のデバイスだったことだ。ボットネット向けに古いコンピュータを使う代わりに、彼らはモノのインターネットの一環としてCCTVカメラ、デジタルビデオレコーダ、ホームルータ、他のインターネットに接続された組み込みコンピュータを使っていたのだ

どのくらいIoTが非常に安全ではないのか多くのことが書かれてきた。実際には、Krebsへの攻撃に使われたソフトウェアはシンプルで素人臭いものだった。政府が問題解決に介入しない限り、この攻撃のデモはIoTの経済は危険な状態が残ることを意味する。これは自身で解決できない市場の失敗である。

我々のコンピュータやスマートフォンは、問題に対応するセキュリティエンジニアのチームがいるためそれらと同じくらい安全である。Microsoft、Apple、Googleのような企業はリリースされる前にコードのテストに多くの時間を使っており、脆弱性が見つかるとすぐにパッチをあてる。それらの企業はそのようなチームを支援できる。企業はソフトウェアに直接あるいは間接に多くの費用を掛けるのは、一つにはそのセキュリティで勝負しているからだ。これはデジタルビデオレコーダあるいはホームルータのような組み込みシステムには当てはまらない。それらのシステムはとても低い利幅で販売されており、しばしばサードパーティにオフショアすることで作られている。関係するその企業は、製品を安全にするための専門技術を全く持っていない。

さらに悪いことに、これらのデバイスのほとんどがパッチを当てる方法を持っていない。Krebsに攻撃したボットネットへのソースコードは公開されているにも関わらず、我々は影響のあるデバイスを更新できない。Microsoftは月に1度あなたのコンピュータにセキュリティパッチを配布している。Appleは決まったスケジュールではないが、定期的に行なっている。しかし、あなたのホームルータのファームウェアを更新する唯一の方法は、それを捨てて新しいものを購入することである。

我々のコンピュータや携帯のセキュリティは、定期的に買い換えるという事実によってもたらされていることもある。我々は数年毎に新しいノートPCを買っている。我々はさらに高い頻度で新しい携帯を手に入れている。これは全ての組み込みIoTシステムには言えないことだ。それらは数年から数十年続く。我々は5あるいは10年毎に新しいDVRを買っている。冷蔵庫は25年毎に買い換えている。サーモスタットはだいたい買い換えることはない。前々から銀行業界はATMの中に組み込まれているWindows 95のセキュリティ上の問題に対応している。このような同じ問題がモノのインターネット全体にわたって起きている。

買い手も売り手も気にしないため、マーケットはこれを解決することはできない。Brian Krebsに対する攻撃で使われたCCTVカメラやDVRを考えてみてほしい。それらのデバイスの所有者は気にしない。それらのデバイスは安く買取られ、それらはそれでも動いており、Brianの存在を知らない。デバイスの売り手は気にしない: 彼らは新しくてより良いモデルを売っており、新規の買い手は価格と機能だけに注意を払う。危険な状態は、エコノミストが外在性と呼ぶものであるため、マーケットでの解決策はない: それは他の人々に影響する購入の決定の結果である。目に見えない汚染のようなものであると考えてほしい。

これらが意味するものは、政府が問題解決に介入しない限り、IoTは危険な状態のままだろうということである。市場の失敗になった時、政府が唯一の解決策である。政府はIoT製造者にセキュリティの規制、購入者が気にしなくてもデバイスを安全にすることを強制することを課すことができる。製造者にBrian Krebsのような人々が彼らを訴えることできるような法的責任を貸すことができる。これらは皆、危険な状態に対するコストを上昇させるが、企業にデバイスの安全性にお金を掛けるインセンティブを与える。

もちろん、これは国際的な問題への国内だけの解決策である。インターネットはグローバルなので、攻撃者はアジアの、米国のIoTデバイスでボットネットを同じように簡単に作ることができる。長期的には、我々はこのような攻撃に対する回復力のあるインターネットを作る必要がある。しかし、それにはまだまだ先のことである。その間にも、あなたは安全ではないIoTデバイスを利用する数多の攻撃を予期できる。

このエッセイはVice Motherboardですでに見られる

Slashdotスレッド

ここに脆弱なモノのいくつかがある。

Vice MotherboardSlashdot