ゼットスケーラーが調査レポート発表 - IoTデバイスがセキュリティ侵害の重大な経路であることを確認、ゼロトラストセキュリティの必要性を改めて強調

※ 本資料は、米国カリフォルニア州にて2021年7月15日（現地時間）に発表したプレスリリースの日本語抄訳版です

主な所見

• テクノロジー、製造、小売、ヘルスケア業界が、IoTマルウェア攻撃被害者の98%を占める
• 仮想アシスタントを含むエンターテイメント・ホームオートメーションデバイスのリスクが最も高い
• IoT攻撃の大多数は、中国、米国、インドで発生
• IoT攻撃の被害を最も受けている上位3か国は、アイルランド、米国、中国
• マルウェアファミリー「Gafgyt」と「Mirai」が、IoTマルウェアの97%を占める

クラウドセキュリティ業界を牽引するZscaler（本社：米国カリフォルニア州、以下 ゼットスケーラー）は、企業がリモートワーク環境への移行を余儀なくされた期間に、企業ネットワーク内に残されたIoTデバイスの状態について調査した最新のレポート「IoT in the Enterprise: Empty Office Edition（企業におけるIoTの利用：誰もいないオフィスにおける脅威」（日本語版）を発表しました。

本レポートでは、2020年12月のある2週間の期間中にゼットスケーラーがブロックしたデバイストランザクション5億7,500万件以上と、IoT特有のマルウェア攻撃300,000件（パンデミック前と比較し700%増）を分析しました。これらの攻撃は、新型コロナウイルスのパンデミック禍、従業員の多くがリモートワークを行っている間に企業のITネットワークに接続し通信していた、プリンター、デジタルサイネージ（電子看板）、スマートテレビなど553種類のデバイスを標的としていました。ゼットスケーラーの調査チームであるZscalerTM ThreatLabzは、企業が自社の貴重なデータを保護することをさらに適切に支援するため、最も脆弱なIoTデバイス、最も一般的な攻撃発生地と標的地、不正トラフィックの原因の大部分を占めるマルウェアファミリーを特定しました。

ゼットスケーラーの最高情報セキュリティ責任者（CISO）であるディーペン・デサイ（Deepen Desai）は次のように述べています。「新型コロナウイルスのパンデミック禍、従業員はリモートワークを続けていたため、1年以上もの期間、企業オフィスの多くは大方無人状態となっていました。ところが、当社のサービスチームは、従業員が不在であるにも関わらず、企業のネットワーク内でIoTが変わらず活発に活動していることに気づきました。企業ネットワークには、ミュージカルランプからIPカメラまで、膨大な数の様々なIoTデバイスが接続されています。当社のチームは、こうしたデバイスの76%が、現在も暗号化されていないプレーンテキストのチャネルで通信していることを確認しました。つまり、IoTのトランザクションの多くが、企業にとって非常に危険な状態であることを意味しています。」

最も危険なデバイス

ゼットスケーラーは、5億件以上のIoTデバイスのトランザクションから、212のメーカーの553種類のデバイスを特定しました。そのうち65%が、セットトップボックス（29%）、スマートテレビ（20%）、スマートウォッチ（15%）のいずれかに該当します。最も多様性に富んでいたのは、ホームエンターテイメント・オートメーションのカテゴリに分類されるデバイスでしたが、製造機器、エンタープライズデバイス、ヘルスケアデバイスと比べると、最もトランザクション量が少ないデバイスでした。 一方、トラフィックの多くは、製造業や小売業で使われているデバイスから送られていました。全トランザクションの59%が、3Dプリンター、GPS追跡装置、自動車のマルチメディアシステム、データ収集端末（バーコードリーダーや決済端末など）など、これらの業界のデバイスから発信されていました。エンタープライズデバイスからのトランザクションは2番目に多く、全トランザクションの28%を占めていました。それに続き、ヘルスケアデバイスからのトラフィックは約8%を占めていました。 ThreatLabzはまた、スマート冷蔵庫やミュージカルランプなど、予想外のデバイスが数多くクラウドに接続され、企業ネットワークを経由して通信し続けていることを発見しました。

攻撃者

ThreatLabzは、ゼットスケーラーのクラウドで追跡されたIoTマルウェアに特有の活動にも詳しく注目しました。数値としては、15日間で合計18,000件のユニークホストと約900件のユニークペイロード配信を確認しました。ThreatLabzが最も多く確認したマルウェアファミリーは「Gafgyt」と「Mirai」であり、これらがユニークペイロード900件の97%を占めていました。これら2つのマルウェアファミリーは、ボットネット（マルウェアの拡散、インフラのオーバーロード、またはスパムの送信を目的として、まとめて一括操作可能なプライベートコンピューター群から成る広大なネットワーク）を作るためにデバイスをハイジャックすることで知られています。

標的

IoT攻撃に最も狙われていた上位3か国は、アイルランド（48%）、米国（32%）、中国（14%）でした。侵害されたIoTデバイスの大多数（90%近く）が、中国（56%）、米国（19%）、アイルランド（14%）のいずれかの国のサーバーにデータを送り返していることを確認しました。

防御方法

世界の「スマート」デバイスの数は日々増加しており、組織への侵入を防ぐことはほとんど不可能です。ITチームは、シャドーITの利用をなくす努力をするのではなく、そのようなデバイスを極めて機密性の高い会社データやアプリケーションへの侵入口にさせないアクセスポリシーを実施するべきです。そうしたポリシーや戦略は、ITチーム（または、その他の従業員）がオンプレミスであるか否かに関わらず、取り入れることができます。ThreatLabzは、マネージドデバイスやBYODデバイスに対するIoTマルウェアの脅威を軽減するため、以下の対策を提案します。

• 自社ネットワーク内のすべてのデバイスを可視化する：ネットワークログを検証および分析し、自社ネットワーク内で通信しているすべてのデバイスとその振る舞いを把握できるソリューションを採用してください。
• デフォルトのパスワードをすべて変更する：パスワードは必ずしも変更できるとは限りませんが、企業がIoTデバイスの使用を開始する際の初歩的な対策として、パスワードを更新し、二要素認証を取り入れるべきです。
• 定期的にアップデートやパッチを適用する：多くの業界（特に製造とヘルスケア）では、定常業務でIoTデバイスを利用しています。新たな脆弱性が見つかり次第、その通知を受け取ること、また最新のパッチを適用し、デバイスのセキュリティを最新状態に保つことを確保してください。
• ゼロトラストのセキュリティアーキテクチャを取り入れる：企業の資産へのアクセスに関する厳しいポリシーを強制し、ユーザやデバイスが認証された場合に限り、必要なデータのみにアクセスを認めることを確保してください。外部アクセスに必要なIP、ASN、ポートとの通信を制限してください。許可されていないIoTデバイスがインターネットにアクセスする必要がある場合は、トラフィックインスペクションを行い、出来ればプロキシ経由でインターネットにアクセスさせ、あらゆる企業データへのアクセスはブロックするべきです。シャドーIoTデバイスに起因する企業ネットワークにおけるリスクを阻止するための唯一の方法は、従来からの絶対的な信頼に基づくポリシーを撤廃し、動的なIDベースの認証に基づき、機密データへのアクセスを厳密に制御することです。このアプローチは、ゼロトラストと呼ばれています。

Zscaler ThreatLabzについて

Zscaler ThreatLabz調査チームは、ゼットスケーラーのセキュリティクラウド全域における脅威を分析のうえ、それらを解消し、グローバル脅威情勢を調査する、セキュリティエキスパート、調査員、ネットワークエンジニアで構成されています。同チームは、より安全なインターネットを促進するため、調査結果やクラウドデータを業界全体に共有しています。

本レポートに記載されるすべてのデータは、1日1,600億件以上のトランザクションを処理するゼットスケーラーのプラットフォームから直接取得しました。本レポートで使用されたデータは、2020年12月15日から12月31日の期間に、物理的なオフィス内の企業ネットワークにおけるデバイスと攻撃に関して収集したものです。ThreatLabzは、この15日間に合計18,000件のユニークホストと約900件のユニークペイロード配信を含め、IoTマルウェア、エクスプロイト、コマンド＆コントロール通信関連で約300,000件のトランザクションがブロックされたことを確認しました。

本レポートの完全版を含む詳細は、「IoT in the Enterprise: Empty Office Edition（企業におけるIoTの利用：誰もいないオフィスにおける脅威」から確認可能です。