半年以上前に発行されたレポートですが、フォルダ整理していたらざっくり訳したものを見つけたのでここに貼り付けておきます。

FBIによるIoT機器に対するセキュリティの懸念

参考情報

FBIによる「サイバー犯罪におけるIoT」

• [Internet Crime Complaint Center (IC3)

  Internet of Things Poses Opportunities for Cyber Crime](http://www.ic3.gov/media/2015/150910.aspx)

IoT device とはどのようなものか？

• リモートから制御できる、または自動的に調整されるライトや空調システム
• アラームやWiFiカメラを備える防犯システム
• 無線で心拍をモニタリングするような医療機器
• フィットネスで使われるようなウェアラブル端末

IoTデバイスはどのように繋がるか？

• 人間の介在なしでコンピュータネットワークを経由して接続され、データ交換が行われる

IoT リスクとは？

• デバイスの脆弱性にパッチを当てることの困難性やセキュリティ機能の欠如

  消費者がセキュリティに対する関心が薄いのと同様に、犯罪者にとってこれらは進入する良い機会となる

• 犯罪者にとって、遠隔でほかのシステムに対して攻撃を行ったり、不正コードやスパムを送ったり、個人情報を盗んだり、物理的な防犯対策を無効化することが容易になる

• 主に以下のリスクを含む

  • 多くのIoT機器にアクセス可能とするためのUPnPを利用した侵入 UPnPは認証無しでネットワークに自動的に接続し、通信することが可能で、攻撃に対して脆弱なプロトコル

  • デフォルトパスワードを利用した攻撃 個人情報や機密応報の盗難、不正コードやスパムの送信に利用

  • 物理的な不正制御を行うためにIoT機器に対する侵入
  • 機器が動作できないように過負荷をかける
  • ビジネス取引を妨害する

IoT リスクはどのようにみえるか

• セキュリティ対策のない、または弱いIoT機器はサイバー犯罪者にとって魅力的である。なぜならプライベートネットワークに侵入し、他の機器にアクセスしたり、機密情報を取得するのに有効であるため。

消費者保護と推奨対策

• 保護されたネットワークからIoTデバイスを切り離す
• ルータのUPnPを無効にする
• IoT機器が使用者の目的を達成するのに最適かどうかをきちんと考慮する
• セキュアな機器を提供している実績のある製造業者からIoT機器を購入する
• 利用できるのであれば、IoT機器のセキュリティパッチをあてる

• 消費者は自宅や職場に備えられた設備や機器の機能について関心をもつ

  機器がデフォルトパスワードのままだったり、オープンなWi-Fi(公共無線LANなど)を利用していた場合、 パスワードを変更したり、セキュアルータを導入し、自宅および職場内でのみの操作に制限すること

• 無線接続する際、または遠隔でIoT機器に接続する際は、ベストプラクティスを採用すること
• 自宅で利用する医療機器について患者は適切に情報を提供されていること。もし、医療機器が遠隔から操作やデータ転送されるものであれば、不正アクセスの対象となり得る

• 全てのデフォルトパスワードが強固なパスワードに変更されていることを確認すること

  機器製造業者が設定したデフォルトパスワードは決して利用しないこと。多くのデフォルトパスワードはインターネット上に転がっている。 また、個人情報から推測できるような、例えば誕生日やペット・子どもの名前など安易なパスワードの利用は避けること。 もし機器がパスワード変更の機能を備えていなければ、機器とインターネットの接続において強固なパスワードと暗号技術が利用されていること