SmartApps の調査で IoT の課題が明らかになる
2016 年 5 月 11 日 MARC LALIBERTE 著
IoT(モノのインターネット)という理論には、私も大いに賛同し、用途に合わせて開発された小型のデバイスを暮らしに役立てるというアイデアを気に入っています。ただし、現世代の IoT デバイスでは、便利さと引き換えにセキュリティが疎かになることが多いという問題が解決されていません。セキュリティ企業で働く者としては、この妥協はなかなか受け入れ難いものです。
このブログを続けてお読みいただいている方であれば、先月私が投稿した、IoT カメラでのマルウェア拡散の記事をご覧いただいたのではないでしょうか。発売されたばかりの IoT カメラによるマルウェアの感染は、IoT のセキュリティ意識の低さを示す、最も極端な例だと言えますが、IoT デバイスには、これをはるかに上回る多くの重大なセキュリティホールが存在しています。
ミシガン大学(UM)の研究者が先週、Samsung のホームオートメーションシステムである SmartThings で実施したセキュリティ監査の調査結果を公開しました。端的に言えば、この調査で 4 つの攻撃ベクターが見つかり、いずれも SmartThings の Android アプリの権限の問題に起因するものでした。
SmartThings の Android アプリには、SmartApps という専用のストアがあり、サードパーティの開発者がこれを利用してウィジェットを作成することで、SmartThings デバイスに機能を追加できます。ミシガン大学の研究者は、これらの SmartApp を利用して攻撃を試みました。
1 つ目の攻撃では、バッテリー残量モニターに見せかけた専用のアプリケーションを作成しました。このアプリケーションは、インストール時にバッテリー残量をモニターする許可だけを要求しますが、実際に取得していた権限は、新しく入力されたドアロック PIN コードを読み取って取得し、そのコードをテキストメッセージで研究者(あるいは、同様のアプリを開発した攻撃者)に送信するのに十分なものでした。
もう 1 つの攻撃では、人気のある別の SmartApp をリモートで入手し、接続されたドアロックにプログラミングによって PIN を追加し、家に侵入するバックドアとして利用するようにしました。この攻撃で使われた脆弱性のある SmartApp には、PIN コードをロックに使用するようにもプログラミングされていませんでした。
残る 2 つの攻撃では、偽メッセージのインジェクションによってアラームをオフにすることで、1 つ目の SmartApp で権限の「休暇モード」を強制的にオフにし、もう 1 つの SmartApp への不正アクセスに成功しました。
IoT デバイスにおいては、セキュリティ、機能性、使いやすさの間に常にトレードオフが存在することになるでしょう。プラットフォームによっては、インターネット接続されたトースターでリモートコードを実行したとしても、家が火事になるようなことでもない限り、重大な被害はないかもしれません。その一方で、たとえば私が家の鍵を電話で制御できるようにするとしたら、セキュリティシステムに万全を期すように業者に要求するでしょう。
IoT はまだ発展段階にある市場です。セキュリティが最優先されるようになるまでは、IoT デバイスの悪用によるネットワークへの影響を十分に認識しておくべきでしょう。– Marc Laliberte