ブログ

IoT がネットワークの整合性を損なう可能性

F5 サムネイル
F5
2018年5月1日公開

IoT (モノのインターネット) はネットワーク空間に革命を起こし、マシン間 (M2M) 通信と自動化プロセスへの道を開いています。 コネクテッドカーやスマートホームから遠隔手術やロボット工学まで、機会と可能性は無限です。

最近の数字によると、使用されている IoT デバイスは推定 84 億個あり、その数は 2020 年までに 200 億個を超えると予想されています。 今日、IoT は広範な技術を網羅しており、その展開にはさまざまな形態があります。 その中でも主なものは、産業用 IoT (IIoT) の管理対象ユースケースと、消費者向け IoT (CIoT) の管理対象外ユースケースです。

IIoT は非常に複雑に見えますが、セキュリティ管理は実際には簡単に実現できます。 ここで重要なのは、デバイスとapplication間のトラフィック ストリームを制御し、クラス最高のサービスとプロトコルの適合性を保証するソリューションです。  暗号化 (TLS) とステートフル セキュリティ サービス (ポリシングと脆弱性保護) を介して通信を保護することも重要です。

IIoT 導入における主な課題は、トラフィック メトリックの特性の変化です。 IIoT デバイスの数は膨大で、セッションは長く(数か月、場合によっては数年)、トラフィック量は通常非常に少なくなります。 アイドル セッションを終了することは、必ずしも選択肢ではありません。 実際、一部のapplicationsの「常時オン」の性質により、ネットワーク内でトラフィック ストームが発生する可能性があります。

通常は管理されていない CIoT デバイスには、CCTV カメラ、インテリジェント スピーカー システム、ウェアラブルなどが含まれます。 モバイル ブロードバンドまたは固定回線加入者の CPE の背後に設置されている場合、通信関係が明確に定義されていないため、ネットワーク内のそのようなデバイスを識別することが困難な場合があります。

多くのスマート デバイスが、ネットワーク プロトコル スタックと、場合によってはapplication層を提供する安価なチップセット上に構築されているという事実によって、問題がさらに深刻化します。 メーカーはパッチの提供を避けることが多く、デバイスの出荷後はすべての責任を放棄することもあります。 これにより重大な混乱が生じる可能性があります。 F5 Labs の最新の脅威インテリジェンス レポートによると、ヨーロッパはすでに Thingbots のホットスポットになっています。Thingbots は IoT デバイスのみで構築されており、野心的なボットネット構築攻撃者が好んで利用するサイバー兵器配信システムとして急速に普及しています。

F5 Labs は、2017 年 1 月 1 日から 6 月 30 日の間に、デバイスとの通信にコマンド ライン インターフェイスを提供するネットワーク プロトコルである Telnet を使用してデバイスを攻撃する、世界中で 3,060 万件の Thingbot 攻撃があったと報告しました。 これは、2016 年 7 月 1 日から 12 月 31 日までの前回の報告期間と比較して 280% の増加を表しています。 攻撃元 IP アドレス上位 50 位のうち 44% はホスティング プロバイダーによるもので、そのうち 56% は ISP/通信事業者によるものでした。

攻撃活動は急増しているものの、Thingbot の主要犯人である Mirai や Persirai の規模には及ばない。 F5 の報告期間中の攻撃の 93% は 1 月と 2 月に発生し、3 月から 6 月にかけて活動は減少しました。 これは、攻撃者が「偵察」段階から「構築のみ」段階に移行するにつれて、新たな攻撃が近づいていることを示している可能性があります。

残念ながら、IoT メーカーがこれらのデバイスのセキュリティを確保したり、製品をリコールしたり、あるいはそのような脆弱なデバイスの購入を拒否する購入者の圧力に屈したりしない限り、大規模な Thingbot が製造され続けることになるでしょう。

このような背景から、サービス プロバイダーは、感染活動を特定するだけでなく、アウトバウンド DoS 攻撃を軽減するという課題に直面しています。

従来のレイヤー 3 および 4 ファイアウォール ルールは、もはやそれほど役に立ちません。 トラフィックの堅牢な動作分析が不可欠になっています。 このようにして、セキュリティ デバイスは時間の経過とともに「通常の」ネットワーク ベースラインを学習します。 逸脱が検出されると、さまざまなアクティビティが開始されます。 これらには、人間による検証後に手動の緩和プロセスをトリガーするアラートの作成や、検出された異常をブロックするための既存の緩和テクノロジ用の動的シグネチャの作成が含まれます。

自己防衛型ネットワークは、明日のセキュリティ アーキテクチャに不可欠です。 その間、責任ある組織は、 DDoS 戦略を導入し、重要なサービスの冗長性を確保し、クレデンシャル スタッフィングソリューションを実装することで、自らを保護するために最善を尽くすことができます。 IoT デバイスの潜在的な危険性と安全な使用方法について、従業員に継続的に教育することも重要です。