消費者向け IoT の脆弱性: 相互接続がリスクの共有を意味する場合
消費者向け IoT の脆弱性: 相互接続がリスクの共有を意味する場合
消費者向け IoT の脆弱性: 相互接続がリスクの共有を意味する場合
- 著者:
- 2022年7月11日
洞察のハイライト
モノのインターネット (IoT) 業界は革新を続けていますが、消費者がデフォルトのデバイスパスワードの更新を怠ったり、メーカーがテストされていない機能を導入したりすることにより、顕著なサイバーセキュリティの問題に取り組んでいます。 これらの課題は、脆弱性が公的に開示されていないことと、企業が脆弱性に対処するための明確な計画を持っていないことによってさらに悪化しています。 リスク管理戦略として機密保持契約、バグ報奨金プログラム、協調的脆弱性開示 (CVD) がある程度利用されていますが、業界全体での脆弱性開示ポリシーの導入は依然として低いままです。
消費者向けIoTの脆弱性コンテキスト
ホーム アシスタントやスマート セキュリティ カメラなどのデバイスには利点がありますが、IoT 業界はサイバーセキュリティの点でまだ長い道のりがあります。 設計とインフラストラクチャが進歩したにもかかわらず、これらのデバイスは依然としてサイバー攻撃に対して脆弱です。 この問題は、多くの消費者がデバイスのオペレーティング システムをアップグレードするためのベスト プラクティスを知らないという事実によってさらに悪化します。 IoT Magazine によると、すべての IoT デバイス所有者の 15% がデフォルトのパスワードを変更していません。これは、ハッカーがユーザー名とパスワードの 10 つの組み合わせだけで、関連するすべてのデバイスの XNUMX% にアクセスできることを意味します。
その他のセキュリティ上の課題は、これらのデバイスのセットアップまたは保守の方法に根ざしています。 マシンやソフトウェアがセキュリティで保護されていない状態(たとえば、新しいセキュリティ アップデートを適用できない、エンドユーザーがデフォルトのパスワードを変更できないなど)のままにしておくと、消費者のホーム ネットワークが簡単にサイバー攻撃にさらされる可能性があります。 もう XNUMX つの課題は、開発者が閉鎖し、誰もそのソフトウェアやプラットフォームを引き継がなくなることです。
モノのインターネット攻撃は、マシンまたはインフラストラクチャによって異なります。 たとえば、ソフトウェアまたはファームウェアの脆弱性により、ハッカーが電気自動車 (EV) のセキュリティ システムをバイパスできる可能性があります。 一方、一部の IoT メーカーは、十分なテストを行わずにデバイスやインターフェイスに新機能を追加することがよくあります。 たとえば、EV 充電器のような一見単純なものでも、ハッキングされて充電不足または過充電になり、物理的な損傷につながる可能性があります。
破壊的な影響
IoT Security Foundation が実施した 2020 年の調査によると、IoT メーカーが十分に取り組んでいなかった分野の XNUMX つは、脆弱性の公開情報の提供でした。 IoT に接続されているデバイスのセキュリティを向上させる重要な方法は、研究者が発見した脆弱性をメーカーに直接報告することを容易にすることです。同時に、企業は、これらの懸念が特定された後にどのように対応するか、およびソフトウェアパッチやその他の修正がどのくらいの期間で予想されるかを伝える必要があります。
新たなサイバーセキュリティの脅威に対抗するために、一部の企業は機密保持契約に依存しています。バグ報奨金 (つまり、発見された脆弱性に対して支払いを行う) で研究者を誘惑する企業もいます。企業が情報開示やバグ報奨金プログラムを管理するために利用できる専門サービスもあります。リスクを管理するためのもう XNUMX つの手法は、調整された脆弱性開示 (CVD) です。CVD では、作成者と研究者が協力して問題を修正し、修正と脆弱性レポートの両方を同時にリリースして、ユーザーへの損害の可能性を軽減します。
残念ながら、一部の企業では開示に対処する計画がありません。 脆弱性開示ポリシーを持つ企業の数は、13.3 年の 2019 パーセントから 9.7 年には 2018 パーセントに増加しましたが、業界での導入は全体的に低いままです(2022 年)。 幸いなことに、開示ポリシーを義務付ける規制が増えています。 2020 年に米国政府は、モノのインターネット サイバーセキュリティ改善法を可決し、IoT プロバイダーに対し、連邦政府機関に販売する前に脆弱性の開示ポリシーを定めることを義務付けました。
消費者向けIoTの脆弱性の影響
消費者向け IoT の脆弱性の広範な影響には、以下が含まれる可能性があります。
- 政府は、IoT メーカーに情報開示ポリシーと厳格かつ透明性のあるテストを設けるよう規制しています。
- 共通の標準に同意し、デバイスの相互運用性と安全性を高めるための統一サイバーセキュリティ プロトコルを開発するための団体を結成するハイテク企業が増えています。
- サイバーセキュリティを強化するために、高度な多要素認証と生体認証を実装したスマートフォンおよびその他の個人消費者向けデバイス。
- デジタルハイジャックを防ぐため、電気自動車および自動運転車のサイバーセキュリティへの投資が増加。
- 犯罪者が暗号化されていない通信チャネルを乗っ取る盗聴攻撃の増加。 この犯罪傾向により、暗号化メッセージング アプリ (EMA) を好む消費者が増える可能性があります。
- 特に古いデバイスのユーザーの間で、脆弱なパスワード保護を悪用したソーシャル エンジニアリング攻撃が増加しています。
コメントする質問
- IoT デバイスが適切に保護されていることを確認するにはどうすればよいでしょうか?
- 消費者が IoT デバイスのセキュリティを強化できる他にどのような方法がありますか?
インサイトの参照
この洞察のために、次の一般的な機関リンクが参照されました。
