IoTセキュリティソリューション：第1部 – 一般的なデフォルトパスワードを使用しない

サイバーセキュリティは大企業にとって、あれば便利な機能ではもはやなくなっています。特に組み込み製品やIoT製品にとっては必須の機能となりました。ETSIはIoT製品と関連製品のセキュリティ保護された設計について新しい規制を発表したところですが、この発表のタイミングの良さにはCEPDも諸手を挙げて賛意を示しました。

（画像提供：Getty Images）

市場に出回るIoT製品が普及し、人気が高まる中、IoTの一般的なセキュリティ問題について知識を得るのに、今ほど適切な時もありません。本稿は、IoTのセキュリティと組み込みのセキュリティに焦点を当てるシリーズ記事の1本です。一般的な問題について説明した後で、適用可能なソリューション経路を記載します。これにより、IoTデバイスの使用時と設計時にセキュリティについて今までよりも少し意識できるようになっていただければ幸いです。

デフォルトのパスワード

大半のIoTデバイスでは、「admin」、「1234」、「user」などの一般的なデフォルトパスワードが使用されています。事態を悪化させているのは、多くのユーザーがこのデフォルトからパスワードを更新しようとしないことです。このため、これらのパスワードを知っている任意のユーザーによるフルアクセスを許してしまいます。同じ製品を購入して同梱のマニュアルを読んだすべてのユーザーが、「ハッカー」になる可能性があります。これは、お客様のデバイスのパスワードを知っているハッカー集団としては、かなり大規模であることは言うまでもありません。

適用可能なソリューション

開発者としては、パスワードは製品のコードベースにハードコーティングするだけにしておきたくなるかもしれません。しかし、この単純化のメリットよりもリスクの方がはるかに大きなものです。幸いにも、IoTデバイスのセキュリティをより良く保護するために行える設計上の選択肢があります。

乱数生成

IoTデバイスは、電源を投入すると、そのパスワードとして乱数を生成する場合があります。この乱数パスワードは、セキュリティで保護された方法により、エンドユーザーと共有することができます。このパスワードは無作為のため、別のデバイスが同じパスワードを使用している可能性もなきにしもあらずであることに注意してください。

乱数生成は、ハードウェア的な方法でもソフトウェア的な方法でも利用可能です。MikroElektronika MIKROE-4090などのデバイスでは、真の乱数列が生成されます。さらに、最新の多くのプロセッサやマイクロコントローラには、真の乱数列生成周辺モジュールや擬似乱数生成周辺モジュールが搭載されています。最後に、CとC++には、あらかじめコンパイルされたライブラリ（https://www.geeksforgeeks.org/generating-random-number-range-c/）の利用による擬似乱数機能が備わっています。

ポイントは、今や、乱数の生成方法はたくさんあるということです。この機能をIoTデバイスに追加することは、一般的なデフォルトパスワードのジレンマを回避し、お客様の製品が他の人の製品よりも一段上であることを証明するものになります。

パスワード変更の要求

乱数の使用が少しややこしい場合は、ユーザーに操作の第一歩としてパスワードを変更させます。設計した機能をIoTデバイスに実行させる前に、ユーザーに独自のカスタムパスワードを入力するよう求めるプロンプトを表示してください。これはユーザーに小さな負担をかけ、このステップを完了するのにかかる30～60秒の代わりに、ユーザーのセキュリティと製品の信用が保護されます。

試行失敗回数の制限

3分の時間枠内に間違ったパスワードの入力は5回しか許可しないなどのルールを設定することで、自動攻撃に対するIoT製品の抵抗力が高くなります。「ハッキング」の大部分はパスワードを素早く推測しようとするマシンによって実行されていることに注目してください。お客様のIoT製品にパスワードを入力するのに時間がかかれば、その製品はハッカーにとって美味しい顧客ではなくなり、ハッキング作業に挫折するでしょうから、お客様のデバイスから立ち去る可能性が高くなります。これは、単独では不十分ですが、以前に申し上げた推奨事項と組み合わせれば強力になります。

このような問題と推奨事項は、ETSIが行った作業に由来するものです。これらのポイントについては、ETSIの資料「ETSI EN 303 645 v2.1.1 (2020 – 06)」をご覧ください。

IoTセキュリティに関するさらに多くの記事とブログを近日公開予定ですので、お見逃しなく。