こんにちは。ゼロゼロワンの嘉代です。

今回は会社紹介をオフィスの風景を交えてしたいと思います。
IoT特化のセキュリティ会社と言われても、実際どんなことをやっているのか実感が湧きにくいのではと思いますので写真を交えつつ紹介してまいります。

ゼロゼロワンについて

ゼロゼロワンはIoTに特化したセキュリティ会社として、IoT機器の設計から市場に出た後の対応まで、開発ライフサイクルを通したセキュリティの助言を行なっています。

こちらは弊社にあるIoT機器の一部です。
左側には主に家庭で用いられる無線LANルーターを、右のロッカーには基板を収納しています。
無線LANルーターをパッケージしている理由としては、見た目が同じように見えても製品名が違うというケースが多いためです。
また、基板を取り出すと他製品と混ざる可能性があるので、製品ごとにラベルを貼るなど対策をしています。
このように実際にIoT機器を購入、動作確認、分解、解析等することで、市場に出回っているIoT機器に脆弱性がないかの調査、使われているチップセットを含めた基板情報の収集等をしています。

IoTならではのハードウェア層への対策

ITにおけるセキュリティでは、基本的にハードウェアに関する調査は含まれません。
しかし、IoTの場合はハードウェア層も対策をする必要があります。基板情報だけでも脆弱性の傾向が分かりますし、そこからJTAG/UARTを探したりもします。必要に応じてチップを剥がしたり、BLE通信の解析等も行ったりします。

なぜハードウェアまで見る必要があるのでしょうか？それは、多くのIoT機器が手に届く範囲にあるため、攻撃者が分解して中を見ることが可能だからです。既存のITセキュリティとの大きく異なるところではないでしょうか。

IoTのセキュリティを考える際には、すべての攻撃シナリオ/脆弱性に対処することは現実的ではありません。IT以上にも様々な制約がその機器を取り巻くことが常だからです。そのため、どこまでを許容するか、どこからは対処するのか、境界を明確にすることが肝要です。

IoT機器におけるソフトウェア（ファームウェア）

ここまでハードウェア的な観点からの話をしましたが、今度はソフトウェア的な観点からみてみましょう。
PCでは、OSでみるとWindows、Mac、Linuxそれぞれ定期的にセキュリティパッチが当てられているかと思います。また、セキュリティと言えば真っ先にあがりやすいアンチウイルスソフトのパターンファイルや大きな侵入経路となりうるブラウザも頻繁に更新されています。

では、IoT機器のセキュリティパッチ（ファームウェアアップデート）は提供されているでしょうか？メーカーによりけりです。
販売からまったくファームウェアアップデートを提供しないベンダーもあれば、定期的にファームウェアアップデートを提供しているベンダーもあります。ただし、何年も前に販売された製品にアップデートを続けている企業はほとんどいないのが現状ではないでしょうか。

ファームウェアアップデートがないということは、そのファームウェアが公開された後に発見された脆弱性には無防備なまま使用されているということになります。サポートが切れた製品でも動くから、繋がるからと使い続けるのは危険です。
IoT機器を対象としたMiraiのようなマルウェアの被害者/加害者になってからでは手遅れです。
IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策

まずは個人としてすべき対策

もしご自宅の家庭用ルーターの、
・管理者パスワード
・SSID
・WPAキー
が初期設定のままだったら、SSIDは別のものに、管理者パスワードとWPAキーについては推測が難しい値に変更してください。
他にはファームウェアの更新が出ていないか確認してみて新しいバージョンのファームウェアがあるようでしたら更新してください。
ご利用になっているファームウェアの新しいバージョンが提供されておらず、購入の時のままでしたら買い替えをぜひご検討ください。
これが個人でとれうるもっとも効果的かつ簡単な対策になります。
テレワークで使う「家庭用ルーター」が危ない！　セキュリティ対策をあなどってはいけない理由

今後も定期的に情報を発信していく予定です。
まだまだ若い会社ですが、どうぞよろしくお願い致します。