モノのインターネット時代のセキュリティ：乳母、ペースメーカー、スーパーカーをハッキングする物語

モノのインターネットは、IT市場と社会でますます重要な役割を果たし始めており、まもなく私たちの日常生活の不可欠な部分になります。 これは、多くの専門家の評価によって確認されています。 そのため、IDCの調査機関によると、2020年のグローバルIoT市場の価値は7.1兆ドルを超えるでしょう。 この時点で、500億を超えるデバイスがネットワークに接続されると予想されます。 これはすべて、ビジネスユーザーとエンドユーザーだけでなく、膨大な見込み顧客を開拓します。 IoTテクノロジの開発に関連して、情報セキュリティの分野の専門家が警告を発し始めます。 彼らの意見では、不十分に保護された膨大な数のインターネットデバイスがサイバー犯罪者に新たな機会を提供し、その一部はすでに多くのIoTシステムをクラックしている。 モノのインターネットのデバイスをハッキングする最も顕著なケースを選択しました。



モノのインターネットの歴史の中で最も恐ろしいサイバー攻撃の1つであるStuxnetは、2010年にイランで発生しました。 Netens市のウラン濃縮施設でプログラム可能なコントローラーがハッキングされました。 その後、攻撃者は何千もの遠心分離機の作業を停止し、少なくとも1年はイランの核計画の開発を抑制しました。 さらに、この事件は、戦略的に重要な産業施設における重大な脆弱性を明らかにし、今日まで世界中で深刻な懸念を引き起こしています。



2016年10月には、Amazon、Pinterest、Twitter、Soundcloud、Spotify、Reddit、GitHub、Starbucks、CNN、The New York Timeなど、多くの人気のあるリソース、サービス、ソーシャルネットワークにアクセスできないことが判明した、別のセンセーショナルなサイバー攻撃が発生しました。この攻撃は、Dynのサーバーで実行されているサイトの所有者に影響を及ぼしました。 攻撃者がMiraiプログラムを使用したことが知られています。これは、ルーター、セキュリティカメラ、デジタルビデオレコーダーなど、ネットワーク上の保護されていないモノのインターネットデバイスを見つけることができました。 Dynによると、100,000台以上の接続されたデバイスがボットネットに統合され、その多くはパスワード保護なしで動作するため脆弱でした。 攻撃されたサイトは14時間後に復元されました。



ボットネットに対して最も脆弱な企業には、医療機関や製薬会社があります。 したがって、糖尿病のエンジニアであり研究者であるジェイ・ラドクリフは、ジョンソン・エンド・ジョンソンのインスリンポンプの動作に脆弱性があることを発見しました。 ラドクリフによれば、この脆弱性により、攻撃者は約7メートルの距離からWi-Fiを介してデバイスを制御し、患者の血液中のインスリンの過剰摂取を引き起こすことができます。 これにより、回復不能な健康への影響が生じる可能性があります。 ペースメーカーを提供するMerlin @ Homeシステムにも脆弱性が見つかりました。 デバイス所有者の強制的な心停止についてさえ、ほとんどすべてのコマンドを送信できることが判明しました。 さらに、専門家は、医療におけるハッカー攻撃が病院市場の患者の個人データを取得するために行われ、闇市場でのさらなる販売を視野に入れていることに注目しています。



スマート家電は、サイバー犯罪者の範囲も広げます。 したがって、シュナイダー＆ウルフの専門家は、プロのミーレ洗濯機がハッカー攻撃に対して脆弱であることを発見しました。 攻撃者は、マシンに組み込まれたWebサーバーを使用して、一見無害な家庭用機器を介して機密データにアクセスできることに注意してください。 家電を介して機能する最初のボットネットは、2013年と2014年の変わり目に使用されました。 その後、Proofpointの研究者によると、数十万件の悪意のある電子メールが冷蔵庫、マルチメディアセンター、ルーター、テレビから世界中のエンドユーザーや企業に送信されました。



さまざまなスマートシティシステムもハッキングの影響を受けます。 そのため、2016年11月、犯罪者はフィンランドのラッペーンランタ市の住宅の暖房をオフにすることに成功し、コントローラーにネットワークの常時再起動を強制しました。 攻撃は市民の生活に大きな影響を与えました。その時までに気温はすでにゼロ以下に下がっていたからです。



サンフランシスコの公共交通ネットワークもハッキングされました。 サイバー犯罪者はなんとか自動チケットシステムに侵入し、その結果、乗客は市内のバスやトロリーバスに日中無料で乗ることができました。 同時に、駅の機関銃が「動作しません」という碑文を放送し、身代金を要求する会社の従業員のPCでハッキングメッセージが受信されました。 合計で、約2,000のキャリアサーバーがマルウェアの影響を受けました。



IoTの概念を違法な目的に使用する最も有名なシナリオの1つは、アメリカの都市の1つでベビーモニターをハッキングすることでした。 攻撃者はデバイスをリモートコントロールし、数日間、3歳の子供を監視し、夜に彼と話しました。 何が起きているのかを目撃し、夜に子供の部屋を偶然に見つめるまで、両親は少年の不安の理由を理解できませんでした。 同様の話が米国で2013年に発生しました。そのとき、ビデオの乳母を通して不明な人が生後8か月の赤ちゃんのベッドの追跡をインストールしました。 どちらのケースも広く共鳴し、最新のCCTVとWebカメラのセキュリティ問題にITコミュニティを集中させました。



子供に関連するIoTシステムをハッキングする別のケースは、ホラー映画のシナリオを完全に連想させます。 Soft Toys CloudPetsへのテスト攻撃についてです。 このブランドのおもちゃを使用すると、携帯電話から子供へのメッセージを録音し、Bluetooth経由で内蔵スピーカーに転送し、クリックすると再生できます。 CloudPetsデータベースに侵入したハッカーは、玩具自体と録音機能だけでなく、80万のアカウントとユーザーの個人データにもアクセスできました。



超近代的なハイテクテスラ電気自動車でさえ、IoTボットネットに対して脆弱でした。 Keen Security Labの研究者は、統合されたブラウザーを介してTesla Model Sをリモートでハッキングしました。 Wi-Fiを介して、運転モードと駐車モードで車両を制御しました。 同時に、ハッカーはこの方法でメーカーの車をハッキングできることに気付きました。



モノのインターネットはIT市場の参加者からのデータ保護にさらに注意を払う必要があるという事実にもかかわらず、接続されたデバイスから来るトラフィックの量は急速に増加しています。 さらに、2020年までに世界のM2M接続の数は122億に増加すると予想されています。暖房および照明システムを制御するための家電製品の遠隔制御。 業界の最高の専門家と政府機関は、モノのインターネットサイバーセキュリティプロトコルに取り組んでいますが、IoTテクノロジーを使用するための新しいシナリオが増えており、それによって各企業および各個人に新しい機会が与えられています。