No188 ネットワーク機器というIoT

えがおIT研究所

2020年も終わりつつありますが、今年はコロナ禍によりテレワーク
が一般化する一方で、それを狙ったセキュリティ事故が激増した
一年でもありました。

今回は、地味な存在でありながら、組織のネットワークを支える
裏方の機器、IoTのうち特にネットワーク機器について解説します。


1. IoTとは?

IoTという言葉をご存知でしょうか?
Internet of Things の略で、インターネット接続ができる機器
全般を指す言葉です。

とはいっても、スマホやタブレット、パソコン(PC)ではなく
家庭用の電化製品やネットワーク機器などがIoTと呼ばれるもの
です。

インターネットの発達により、今まではネット接続を必要として
いなかった機器も、インターネットの利便性を活かすものが増えて
います。

例えば、エアコンでは手元のスマホから運転指示ができるものが
あります。また外出中にスマホからビデオ予約を行える機能など
も各社から提供されています。
こういった機能はインターネットを経由して実現していますので、
エアコンもビデオ機器も今や立派なインターネットを利用する
機器、つまりIoTなのです。

従来からあるような家電だけではありません。家庭向けには
スマートスピーカー(Amazon EchoやGoogle Homeなどの音声認識
で検索や買いものをサポートする機器)も登場していますし、
工場では機械のエラー発生時に、機械が担当者にメールを送ったり
メーカサポート部門に事象の詳細情報を送るといったサービスも
さほど珍しいものではありません。

これらは、家庭にもあるような目立つIoTの例です。

一方で、裏方にひっそり存在する地味なIoTというものもあります。

そういった機器の例としてネットワーク機器と呼ばれるものがあり
ます。各組織のLAN(ローカルエリアネットワーク)やインター
ネットとの接続を支える機器のことを言います。

ネットワーク機器と言われてもピンとこない方も多いと思います。
要は、ネットワークそのものを便利に利用するための機器を指します。

代表的なネットワーク機器としては、次のようなものがあります。
・ルータ
 →社外のネットワークと接続するための機器
・ファイアウォール
 →社内ネットワークと社外ネットワークを分断するための機器
・スイッチングハブ(スイッチとかハブとも呼びます)
 複数の機器接続で使う(タコ足配線する)機器。

どの機器も目立たない地味な裏方のIoTですが、ネットワークを
支える大切な機器なのです。


2. IoTにも脆弱性はある

ネットワーク機器もネットワーク接続を支える機構はPCやスマホ
とほとんど同じで、プログラム(アプリ)で制御をしています。

プログラムは人間が作るものですから、ミスがつきものです。
そのミスによって、できちゃいけないことをできてしまう場合、
これを脆弱性と呼びます。

ここまでの事情は、PCやスマホと全く同じです。
ですが、この先が大きく違います。

PCでもスマホでも毎月のようにアップデートが発表されます。
これは、脆弱性を突いた攻撃によって情報を盗まれたり侵入されたり
するのを防ぐための防禦策です。

でも、エアコンのアップデートだとかブルーレイレコーダを更新した
ことはありますか?
また、ネットワーク機器のアップデート情報を毎月確認していますか?
いずれもほとんどの方はやったことがないと思います。

同じようにソフトウェア(アプリ)が入っている機器なのにどうして
違うのでしょうか?

「Windowsやスマホ作ってるのが大雑把なヤツばっかりじゃないの?」
いえいえ、そうではないのです。

今までIoTはほとんど狙われてこなかったのです。


3. 今までIoTはあまり狙われなかった

従来IoTはあまり攻撃対象になりませんでした。

IoTは種類があまりに多く、攻撃対象とするには効率が悪すぎると
思われており、それよりも秘密情報が含まれているPCを狙った
方がずっと効率的で合理的だったのです。

そのため、
→攻撃対象にならないから、脆弱性も見つからない。
→だからアップデートプログラムも提供されない。
→攻撃されないから、仮にアップデートしていなくても狙われる
 リスクも低い
というある意味ありがたい流れになっていました。

ですが、このありがたい状況はここ数年で大きく変わりました。
IoTを狙った攻撃が目立って増えてきたのです。

これは、各企業のガードが堅くなりPCへの侵入が難しくなって
いることと無関係ではありません。
WindowsUpdateを実行したり、マルウェア対策ソフトを導入する
ことが常識となり、偽メールを送ってもひっかかってくれない。
要は、犯罪者によるPCへの侵入が難しくなっているのです。

また、ネットワーク機器が多くの人の想像以上に甘いセキュリティ
設定となっていることもわかってきました。

犯罪者たちが、IoTの中でもネットワーク機器に目をつけたのは
ある意味必然だったといえます。


4. 次の狙いはネットワーク機器

こういったネットワーク機器が狙われるのには理由があります。

まず、ネットワーク機器は上述の通り攻撃を受けてこなかったため
に、見つかっていない脆弱性がまだまだ残っている可能性が高いと
言えます。

大きな会社で管理がしっかりしているところは別として、中小企業
で自社に設置しているネットワーク機器のバージョン管理ができて
いる会社なんてほとんどありません。
いえ、それどころか自社に設置している機器のリストすらない会社
が普通かもしれません。

社内に何があるかわからない状態では、仮にどれかの機器に侵入が
なされても気付くことすらできません。

犯罪者にとっては脆弱性が残っている可能性が高く、侵入しても
気付かれないことが期待できるという穴だらけの状況は侵入にも
うってつけです。


5. ネットワーク機器には秘密情報はないのでは?

犯罪者側が情報機器を狙うのはそこにカネになる情報があるから
です。ですが、ネットワーク機器に侵入してもカネになるような
情報は期待できなさそうです。

それでもネットワーク機器を狙うのは、侵入先のネットワークに
流れる情報を盗み取れるからです。

その組織内に流れるデータを盗み見ることができれば、秘密情報
も見放題です。

例えば、PCで発信したメールはネットワークを経由します。
また、社内システムを使って顧客情報や在庫情報を調べた場合も
画面に表示されている内容はサーバからネットワーク経由で送られ
てきたものです。

業務で使うデータのうち個人PCだけに存在するものはそう多く
ありません。他のメンバと共有したい情報はネットワーク上に置く
ことが普通です。

通常であれば、これらのデータは社内ネットワークにしか流れま
せんし、外部からは見ることができませんから問題ありません。

ですが、ネットワーク機器に侵入されると、秘密情報が外部にダダ
漏れになってしまうのです。

いかがでしょうか。

ネットワーク機器に侵入されることはPCに侵入されるのと同じ
かそれ以上に危険なことはご理解いただけたと思います。


6. どうやってネットワーク機器の脆弱性情報を集めるか?

このような危険を避けるためには、ネットワーク機器の適切な
アップデートは必須となります。

ところが、これがまた一筋繩ではいかない大変な作業なのです。

まず、機器を探すことが大変ですし、その機器の状態を確認する
ことも大変なら、アップデートすることも大変です。

しかし、いくら大変でもやらなければいけないことはやるしか
ありません。

次回はこの大変な作業の進め方について解説をしたいと思います。

次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html

この記事が気に入ったらサポートをしてみませんか?