OWASPがIoTのセキュリティをランキング

OWASP(Open Web Application Security Project)は名前の通りWebアプリケーションのセキュリティに関するプロジェクトで、脆弱性に関するドキュメントやツールを配布してきたが、同じようにセキュリティの脅威にさらされているIoTについてランキングを公開した。

どこかの会社と同じように、まずトップ３を見てみよう。

OWASP Internet of Things Project - OWASP

Weak, Guessable, or Hardcoded Passwords
Use of easily bruteforced, publicly available, or unchangeable credentials, including backdoors in firmware or client software that grants unauthorized access to deployed systems.

Miraiがコーディングされた初期パスワードで感染を広げたように、初期パスワードのまま放置することは脆弱性よりタチが悪い。

日本でも「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」に基づく調査とパスワードを放置していた利用者への注意喚起が行われるが、どれぐらい効果があるのだろうか。

Insecure Network Services
Unneeded or insecure network services running on the device itself, especially those exposed to the internet, that compromise the confidentiality, integrity/authenticity, or availability of information or allow unauthorized remote control…

Unneededと書いてあるが、例えばメンテナンス用のポート番号とかのことだろうか。OWASPがWeb向けに出しているTop10と比べると参考情報が少なくてわかりにくい。

Insecure Ecosystem Interfaces
Insecure web, backend API, cloud, or mobile interfaces in the ecosystem outside of the device that allows compromise of the device or its related components. Common issues include a lack of authentication/authorization, lacking or weak encryption, and a lack of input and output filtering.

IoT機器ではなく、IoT機器が接続するクラウド側も脆弱だという話。確かに非力な機器が強固な認証をできない場合はクラウド側が歩み寄らなければいけない。

Good news! Only half of Internet of Crap apps fumble encryption

That intuition appears to be sound. The five researchers looked at the smartphone apps associated with 96 IoT devices and found almost 31 per cent use no encryption at all while 19 per cent rely on using hardcoded encryption keys that are easy to find.

Registerではクラウドに比べ、IoT機器と連携するスマートフォンのアプリとの通信について31％が暗号化しておらず、19％は暗号化しているが鍵がハードエンコーディングされているので、いつかは破られる状態だという論文を紹介している。