米現地時間7月15日、Zscaler(以下、ゼットスケーラー)は、企業がリモートワーク環境への移行を余儀なくされた期間に、企業ネットワーク内に残されたIoTデバイスの状態について調査した最新のレポート「IoT in the Enterprise: Empty Office Edition(企業におけるIoTの利用:誰もいないオフィスにおける脅威」(日本語版)を発表した。
本レポートでは、昨年12月のある2週間の期間中に同社がブロックしたデバイストランザクション5億7,500万件以上と、IoT特有のマルウェア攻撃300,000件(パンデミック前と比較し700%増)を分析。これらの攻撃は、新型コロナウイルスのパンデミック禍、従業員の多くがリモートワークを行っている間に企業のITネットワークに接続し通信していたという。
また、プリンター、デジタルサイネージ(電子看板)、スマートテレビなど553種類のデバイスが標的になったとしている。同社の調査チームであるZscalerTM ThreatLabzは、企業が自社の貴重なデータを保護することをさらに適切に支援するため、最も脆弱なIoTデバイス、最も一般的な攻撃発生地と標的地、不正トラフィックの原因の大部分を占めるマルウェアファミリーを特定したという。
最も危険なデバイス
ゼットスケーラーは、5億件以上のIoTデバイスのトランザクションから、212のメーカーの553種類のデバイスを特定。そのうち65%が、セットトップボックス(29%)、スマートテレビ(20%)、スマートウォッチ(15%)のいずれかに該当するという。最も多様性に富んでいたのは、ホームエンターテインメント・オートメーションのカテゴリーに分類されるデバイスだったが、製造機器、エンタープライズデバイス、ヘルスケアデバイスと比べると、最もトランザクション量が少ないデバイスだとしている。
一方、トラフィックの多くは、製造業や小売業で使われているデバイスから送られていたという。全トランザクションの59%が、3Dプリンター、GPS追跡装置、自動車のマルチメディアシステム、データ収集端末(バーコードリーダーや決済端末など)など、これらの業界のデバイスから発信されていたとしている。エンタープライズデバイスからのトランザクションは2番目に多く、全トランザクションの28%を占占有。それに続き、ヘルスケアデバイスからのトラフィックは約8%を占めていたという。
ThreatLabzはまた、スマート冷蔵庫やミュージカルランプなど、予想外のデバイスが数多くクラウドに接続され、企業ネットワークを経由して通信し続けていることを発見している。
攻撃者
ThreatLabzは、ゼットスケーラーのクラウドで追跡されたIoTマルウェアに特有の活動にも注目。数値としては、15日間で合計18,000件のユニークホストと約900件のユニークペイロード配信を確認したという。また、最も多く確認したマルウェアファミリーは「Gafgyt」と「Mirai」であり、これらがユニークペイロード900件の97%を占めていたとしている。これら2つのマルウェアファミリーは、ボットネット(マルウェアの拡散、インフラのオーバーロード、またはスパムの送信を目的として、まとめて一括操作可能なプライベートコンピューター群から成る広大なネットワーク)を作るためにデバイスをハイジャックするという。
標的
IoT攻撃に最も狙われていた上位3か国は、アイルランド(48%)、米国(32%)、中国(14%)となった。侵害されたIoTデバイスの大多数(90%近く)が、中国(56%)、米国(19%)、アイルランド(14%)のいずれかの国のサーバーにデータを送り返していることを確認したとしている。
防御方法
世界の「スマート」デバイスの数は日々増加しており、組織への侵入を防ぐことはほとんど不可能。ITチームは、シャドーITの利用をなくす努力をするのではなく、そのようなデバイスを極めて機密性の高い会社データやアプリケーションへの侵入口にさせないアクセスポリシーを実施するべきだという。そうしたポリシーや戦略は、ITチーム(または、その他の従業員)がオンプレミスであるか否かに関わらず、取り入れることが可能。ThreatLabzは、マネージドデバイスやBYODデバイスに対するIoTマルウェアの脅威を軽減するため、以下の対策を提案している。
- 自社ネットワーク内のすべてのデバイスを可視化する:ネットワークログを検証および分析し、自社ネットワーク内で通信しているすべてのデバイスとその振る舞いを把握できるソリューションを採用するべき
- デフォルトのパスワードをすべて変更する:パスワードは必ずしも変更できるとは限らないが、企業がIoTデバイスの使用を開始する際の初歩的な対策として、パスワードを更新し、二要素認証を取り入れるべき
- 定期的にアップデートやパッチを適用する:多くの業界(特に製造とヘルスケア)では、定常業務でIoTデバイスを利用。新たな脆弱性が見つかり次第、その通知を受け取ること、また最新のパッチを適用し、デバイスのセキュリティを最新状態に保つことを確保すること
- ゼロトラストのセキュリティアーキテクチャを取り入れる:企業の資産へのアクセスに関する厳しいポリシーを強制し、ユーザーやデバイスが認証された場合に限り、必要なデータのみにアクセスを認めることを確保。外部アクセスに必要なIP、ASN、ポートとの通信を制限するべき
また、許可されていないIoTデバイスがインターネットにアクセスする必要がある場合は、トラフィックインスペクションを行い、プロキシ経由でインターネットにアクセスさせ、あらゆる企業データへのアクセスはブロックするべきだとしている。シャドーIoTデバイスに起因する企業ネットワークにおけるリスクを阻止するための唯一の方法は、従来からの絶対的な信頼に基づくポリシーを撤廃し、動的なIDベースの認証に基づき、機密データへのアクセスを厳密に制御することだとしている。
【関連記事】
・IBM Security、Zscalerとの提携などゼロトラスト・アプローチを強化
・ソフトバンク、SDP型のリモートアクセスサービス提供開始「ゼロトラストネットワーク」を実現
・MODEのIoTプラットフォームがスマートシティ向け都市OS「FIWARE-ORION」と連携
