モノのインターネットは、大きな可能性を秘めています。私たちが関わるあらゆる機器が何らかのネットワーク機能を持ち、安価なスマートホームテクノロジーを誰にでも提供できるようになりました。これはあくまでも可能性のひとつです。さて、残念ながら、完全にネットワーク化された世界というとワクワクしますが、IoTは常に非常に安全ではありません。

プリンストン大学のセキュリティ研究者グループによると、モノのインターネットは非常に安全でないため、暗号化されたネットワークトラフィックでさえ簡単に特定できてしまうとのことです。

果たして、彼らの主張が本当なのか、それとも単なる「定番」のIoTのヒット商品なのか、検証してみましょう。

焼成

問題は、各デバイスが独自のセキュリティプロファイルを持っていることです。また、いくつかのセキュリティ設定も本体に入れられます。つまり、エンドユーザーがセキュリティ設定を変更することはできません。

何千ものマッチング商品に同じ設定をする。

ご覧の通り、これはセキュリティ上大きな問題です。

それに加えて、よくある誤解（というか、完全な無知？）IoTデバイスを悪用することがいかに容易であるかということについては、現実的かつ世界的な問題です。

例えば、あるセキュリティ研究者は、Brian Krebs氏との会話の中で、安全性の低いインターネットルーターがSOCKSプロキシとして使用され、公に宣伝されているのを目撃したと伝えている。インターネットを利用したウェブカメラなどのIoTデバイスを使えば、同じ目的を簡単に達成できると推測されたのだ。

彼らの言うとおりです。

2016年末に大規模なDDoS攻撃がありました。""巨大 "だと？あり：650Gbps（約81GB/s。Impervaのセキュリティ研究者は、ペイロード分析により、そのほとんどが侵害されたIoTデバイスからの電力であることを突き止めました。ペイロードに含まれる文字列から「Leet」と名付けられたこのボットネットは、著名なセキュリティ研究者でジャーナリストのBrian Krebs氏を標的とした大規模なボットネット「Mirai」に対抗する初のIoTボットネットとなったのです。

IoTスニッフィング

プリンストン大学の研究論文は、「A Smart Home is No Castle」[PDF]と題し、「インターネットサービスプロバイダなどの受動的ネットワーク観測者が、IoTネットワークトラフィックを解析してユーザーの機密情報を推測する可能性がある」という考えを探っています。研究者のNoah Apthorpe、Dillon Rei**an、Nick Feamsterは、"知覚型睡眠モニター、室内防犯カメラNest Cam、WeMoスイッチ、Amazon Echo "を調べました。

彼らの結論は、各デバイスからのトラフィックフィンガープリントは、たとえ暗号化されていても認識可能であるということです。

• NestCam - 観察者は、ユーザーがフィードをアクティブに監視しているとき、またはカメラがその視野内で動きを検出したときに推測することができます。
• 知覚 - 観察者はユーザーの睡眠パターンを推論することができる。
• WeMo - オブザーバーは、スマートホーム内の物理デバイスがオンまたはオフになったことを検知することができます。
• エコー - 観察者は、ユーザーがインテリジェントなパーソナルアシスタントとインタラクションしているときに検出することができます。

データパケットへのアクセス

プリンストン大学の論文では、攻撃者がISPから直接パケット（データ）をスニッフィング（傍受）することを想定しています。その解析は、IPパケットヘッダ、TCPパケットヘッダ、送受信レートといったパケットのメタデータから直接行われます。傍受地点に関係なく、変換中のパケットにアクセスできれば、データの解釈を試みることができる。

研究者たちは、アドホックネットワークに接続されたIoTデバイスを特定するために、3つのステップを用いました。

1. トラフィックをパケットストリームに分割すること。
2. デバイスの種類によってストリームをマークする。
3. 交通の流れを確認する。

このポリシーは、デバイスが複数のサービスと通信していても、潜在的な攻撃者は「通常、デバイスの状態をコード化した単一のストリームを特定する必要があるだけ」であることを示しています。例えば、以下の表は、特定のデバイスにマッピングされた各ストリームに関連するDNSクエリを示しています。

この調査結果は、いくつかの仮定に依存しており、そのうちのいくつかはデバイス固有のものです。Sense睡眠モニターのデータは、ユーザーが「就寝直前にのみデバイスの使用を中止し、家庭内の全員が同じ時刻に就寝してデバイスを共有せず、睡眠中に他のデバイスを起動してネットワーク負荷の高いタスクを実行したりしない」という仮定を立てています。のアップデート"

暗号化と結論

BIIは、2020年までに240億台のIoTデバイスがオンラインになると予測しています。Open Web Application Security Project（OWASP）によるIoTのトップ脆弱性リスト［broken URL removed］は以下のとおりです。

1. 安全でないWebインターフェース。
2. 認証/認可が不十分である。
3. 安全でないインターネットサービス
4. 伝送の暗号化がされていないこと
5. プライバシー
6. クラウドのインターフェースは安全ではありません。
7. 安全でないモバイルインターフェース。
8. 安全機能が不十分である。
9. ソフトウェア/ファームウェアが安全でない。
10. 個人のセキュリティが低い。

OWASPはこのリストを2014年に発表しました。それ以来、脆弱性が変わらないため、更新されていません。また、プリンストン大学の研究者が報告しているように、受動的なネットワーク監視者が、暗号化されたスマートホームのトラフィックをいかに簡単に推測できるかは驚くべきことです。

課題は、統合されたIoT VPNソリューションを展開し、さらにIoTデバイス**のベンダーに、より高いセキュリティが（必要ではなく）価値があることを納得させることです。

重要なのは、デバイスの種類を区別することです。IoTデバイスの中には、統合医療機器やAmazon Echoなど、本質的にプライバシーに敏感なものもあります。この分析では、暗号化されたトラフィックの送受信レートのみを使用してユーザーの行動を特定します（詳細なパケット検査は必要ありません）。さらに、統合されたセキュリティ機能を追加すると、IoT機器の性能に悪影響を及ぼす可能性がありますが*2、エンドユーザーのために何らかの表向きのセキュリティを提供する責任はベンダーにあります。

プライバシーに関する疑問への回答は簡単には得られませんが、今回のような研究は、こうした懸念を見事に物語っています。

スマートホームやIoTデバイスを生活に迎え入れるか？この研究を読んで、自分のプライバシーについて心配になりましたか？ベンダーは、各デバイスにどのようなセキュリティ対策を施すべきだと思いますか？以下、感想をお聞かせください。