野放し状態のIoT機器、ついに対策が始動

IoT機器のサイバーセキュリティを高める試みが米国主導で始まった。どのような試みなのだろうか。

[David Jones，Cybersecurity Dive]

　PCやサーバ、スマートフォンと比べてセキュリティ対策が遅れている機器がある。一般消費者向けのIoT機器だ。

IoT機器は野放し状態

　IoT機器はインターネットに接続する機能を持っているため、サイバー攻撃の踏み台にされたり、botネットに悪用されたりする可能性がある。米国主導でIoT機器のセキュリティ対策が進む動きが見えてきた。

　連邦通信委員会（FCC）は（注1）2024年3月14日、長年待ち望まれていた「サイバートラストマーク」（U.S. Cyber Trust Mark）プログラムの創設を決議した。このプログラムでは消費者向けのIoT機器のうち、強固なサイバーセキュリティ基準を満たしたものにサイバーセキュリティラベルを付ける。

サイバートラストマークの一例　ロゴにはQRコードが付けられ、消費者がスキャンすることで製品のサポート期間やソフトウェアのパッチやアップデート情報などが表示される（提供：FCC）

米国サイバートラストマークプログラムが待ち望まれていた理由

　ホームセキュリティカメラからベビーモニター、インターネットに接続された家電に至るまでさまざまなIoT製品について、第三者の管理者による試験および評価を製造者が受けられる。ただし、このプログラムに参加するかどうかは任意だ。

　FCCは特定のソフトウェアやファームウェアが米国にセキュリティリスクをもたらすような国家で製造されているかどうかを含め、追加の開示要件案についてパブリックコメントを求める予定だ。

　米国サイバートラストマークプログラムは（注2）、バイデン政権の国家サイバーセキュリティ戦略の重要な要素と考えられている。

　国家の支援を受けたハッカーに関連する2020年のサプライチェーン攻撃（注3）や、「Colonial Pipeline」に対する2021年のランサムウェア攻撃を受け（注4）、政権はここ数年、国家のサイバー耐性を強化するために多くの措置を講じてきた。

　FCCによると、スマート家電などが採用するコネクテッドテクノロジーは広く利用されており、2030年までに250億台以上のIoTデバイスが世の中に出るという第三者機関の予測がある。

　FCCは今回のプログラム創設に当たって、2021年の最初の6カ月間にIoT製品に対して15億件以上の攻撃があったことを示す第三者機関のデータも引用した。

　FCCのジェシカ・ローゼンワーセル氏（委員長）は、2024年3月14日に発表した声明で次のように述べた。

　「時間の経過と共に、より多くの企業が米国サイバートラストマークプログラムを採用し、より多くの消費者がマークが付いた機器を求めるようになるだろう。この取り組みは安全なIoT機器の世界標準となる可能性を秘めている」

　このプログラムはIoTセキュリティに対する懸念が高まっている時期に承認された。「Volt Typhoon」のような脅威グループが（注5）、エッジデバイスの脆弱（ぜいじゃく）性を悪用し、電力やガス、鉄道、空港などといった米国の重要インフラプロバイダーに対して破壊的な攻撃を広げる可能性のある大規模なキャンペーンを展開しているためだ。

　連邦当局は2024年1月に、数百台のルーターにマルウェアを仕込むために使われたKV botネットを乗っ取り、妨害した経緯がある（注6）。

マークは本当に役に立つのか

　一部の専門家は米国サイバートラストマークプログラムが消費者向けデバイスのセキュリティを向上させるのか、そのようなインセンティブを生み出すのに十分な効果を持つかどうかについて懐疑的だ。

　サイバーセキュリティ事業を営むGuidePoint Securityのパトリック・ジレスピー氏（OTリード）は次のように述べた。

　「他の重要なインフラストラクチャにおける自発的なガイダンスでも同様の取り組みがある。メーカーに明確な要件が課されない限り、IoTデバイスのセキュリティは今日のままであり続けるだろう。つまり安全にならないということだ」

出典：FCC approves voluntary cyber labeling program for smart home IoT devices（Cybersecurity Dive）
注1：FCC CREATES VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART PRODUCTS（FCC）
注2：White House unveils consumer labeling program to strengthen IoT security（Cybersecurity Dive）
注3：One year later: Has SolarWinds changed how industry builds software?（Cybersecurity Dive）
注4：Colonial Pipeline hack highlights grid disruption risks even with IT-focused cyberattack（Cybersecurity Dive）
注5：CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）
注6：China-linked hackers primed to attack US critical infrastructure, FBI director says（Cybersecurity Dive）