2021年12月14日 Asian Scientist

我々が使うデバイスは、我々のすべての動きを追跡できる。その裏では、専門家が尽力し、サイバー犯罪者がこの情報にアクセスできないようにしてくれている。

Asian Scientist － ドラマ「ブラック・ミラー」で5年前に放送されたあるエピソードは、プライバシーの問題を浮き彫りにした。ストーリーは 脅迫メール、ウェブカメラのハッキング、狡猾な監視技術を扱い、我々の生活がいかに無数のデバイスによって秒単位で監視されているかを考えさせるものであり、視聴者にとって痛感させられるものであった。

そのエピソードが放映されるずっと前から、多くの人々は、ウェブカメラをブロックするために特別に設計されたシール、付箋、摺（す）り板などでパソコンのウェブカメラに覆いをかぶせていた。もちろん、適切な服を着ていない時には、デバイスには近づかないようにしていた。

しかし猜疑心が消えることはない。イノベーションが急速に進むにつれて、テクノロジーと、そして情報を収集して私たちの生活を向上させるように設計され、インターネットを介して接続される物のネットワークであり成長を続けているモノのインターネット (IoT) がまとまって我々を煩わせているのだ。アレクサが「牛乳が切れています」と教えてくれるのは便利だが、我々が使用するスマートデバイスは、我々の生活様式や実名といったデータを常に収集している。

家の外に出ると、気を抜けない。ヘルスケアから製造まで、スマートシステムは生産性と精度を向上させている。今日では、Fitbit、街灯、さらにはゴミ箱でさえ、データを記録し、収集し、送信することができる。 IoTデバイスは普及しているが、これらデバイスのセキュリティはまだ安全ではない。セキュリティ専門家が、どのようにして常に我々の周りにあるデバイスを強化しているのか、そして我々が監視の目を気にせず、安心して日々の生活を送ることができるようにしているのか、以下に紹介する。

あらゆるニーズに対応するネットワーク

IoTデバイス上のセンサーは、異なる情報源、サーバー、またはデータベース間の通信を提供またはブロックするゲートウェイを介して相互接続され、 収集されたデータを通信する。ゲートウェイは関連データを処理してクラウドに送信する。 セキュリティが十分なものであれば、IoTゲートウェイは、接続先のデバイスへのアクセスをブロックすることで、追加の保護層として働く。

メッシュネットワークでは、デバイスは相互に通信できるだけでなく、ゲートウェイに情報を中継することもできる。

パーシャルメッシュネットワークでは、選択されたポイントのみが相互に通信でき、他のポイントはセンサーとしてのみ働く。

しかし、フルメッシュネットワークでは、すべてのセンサーが情報を伝えることができ、完全に相互接続されている。

家庭に適しているのはスターネットワークである。複数のセンサーノードで構成されており、それぞれがゲートウェイに個別に接続されている。

ハッキングとは

IoTゲートウェイは追加の保護層となるにもかかわらず、問題が発生する。家庭内で温度や湿度のデータを収集するデバイスなど、小さなデバイスの多くは、IoTリスクであると見なされる。それは、権限を持つ関係者だけが特定のデータにアクセスできるようにする暗号化アルゴリズムを実行できないためであり、攻撃者が防御システムの一つの隙間からネットワーク全体に侵入できることを意味する。

通常、ハッカーは、インターネットに接続されたデバイスを検出するよう設計された検索エンジンであるShodan.ioを使用して、これらのデバイスへの侵入を開始する。多くの場合、ネットワークは保護されていない。その理由は、デフォルトのユーザー名とパスワードが使用されているか、パスワードがまったく使用されていないからだ。経験豊富なハッカーは、このような脆弱性をすばやく処理して、悪意のあるコードを挿入したり、ネットワーク内の他のデバイスを攻撃したりする。

2016年、シンガポールの主要なブロードバンドネットワークが分散型サービス妨害 (DDoS) 攻撃を受け、ある週末に2つの深刻な混乱の波が発生した。ハッカーは問題のあるIoTデバイス、つまり顧客所有のウェブカメラやルーターを介してアクセスに成功したようだった。

このような攻撃では、ウェブサーバーは大量のデータに飲み込まれクラッシュを引き起こす。 ハッカーたちは、ボットネットと呼ばれる接続されたコンピューターのグループを使用して、ウェブサイトやサービスプロバイダーに同時にスパムを送信する。

ハッカーたちはマルウェアや保護されていないアカウントを使用して膨大な数のコンピューターを制御し、複数のユーザーのシステムにアクセスし、ボットネットを作成する。IoTデバイスが着実に普及すれば、世界中のDDoS攻撃の総数は2023年までに1540万に達すると予想されている。

攻撃の構造

世界でIoT接続しているデバイスは2015年には49億台だったが、そのわずか5年で250億台に増加した。主導権を握っているのは韓国と日本であり、アジアだけでも接続されているデバイスの数は86億台あるため、これまで以上に多くのサイバー攻撃にさらされる可能性がある。以下の図にデバイスが危険な状態になる場合を記す。

最高の防御

顧客が利便性のためにセキュリティを放棄することは珍しくない。数字、記号、大文字などの入ったオリジナルパスワードを生成しなければならないというのは、どんな人であっても面倒くさく感じる。そのため、パスワードが変更されず、デバイスが脆弱になる可能性がある。したがって、安全で安心なデバイスとネットワークを設計する責任は開発者にあり、ユーザーの協力に頼ることがあってはならない。

アジア中の研究者と技術組織は、暗号化、ブロックチェーン、人工知能 (AI)、またはこれら3つすべての組み合わせを通じてIoTセキュリティの向上に取り組んでいる。IoTデバイスが私たちの日常生活で定着するにつれて、これらのテクノロジーは我々のプライバシーを保護する上でこれまで以上に重要になる。

高度IoTセキュリティ

暗号化

ソーシャルメディア・アカウントにアクセスするためにはパスワードを入力するのと同様に、暗号化されたすべてのデータの情報を復号して読み取る前に、対象のユーザーだけが知っている鍵が必要である。

日本では、ハイテク大手のNECが、複雑なアルゴリズムを使用して、ブロックとして知られるグループの情報を暗号化し復号するTWINEと呼ばれる安全、シンプル、かつ低電力の暗号化方式を開発した。試験したところ、TWINEの効率性は以前のバージョンの2倍であり、ストレージがはるかに少なくてもうまく機能した。

ブロックチェーン

暗号通貨と非代替性トークンの登場により、ブロックチェーンは一般的な用語となった。金融界やデジタルアート界だけでなく、産業界や政府のサービス全体でデータを安全に記録し保存するためにもブロックチェーンを使用できる。

たとえば、バングラデシュのグリーン大学とバングラデシュビジネステクノロジー大学の研究者たちは、政府のプラットフォーム全体で車両登録と情報管理を維持するために、ブロックチェーンに基づくフレームワークを開発した。そのフレームワークは、従来の紙ベースのシステムよりも優れたユーザーエクスペリエンスと高い透明性を保証する。

人工知能

人工知能（AI）対応のIoTデバイスは、サンプルデータや過去の経験から学習する。それにより、顔認識などのハッキングできない鍵を使用したり、悪意のあるコードを識別してユーザーに通知したりして、セキュリティを強化できる。

シンガポールを拠点とする新興企業のYojeeは、AIを利用して、ロジスティクス企業やサプライチェーン企業が車両、追跡、請求などを管理・調整するのを支援している。倉庫内や配送時にデータがIoTから収集され、Yojeeのクラウドインテリジェンスプラットフォームに保存され、安全に管理・保管される。理想的には、進歩をヘルスケアや輸送など他の分野に応用させることもできる。