Blog

NASA、ラズベリー セキュリティ・バイ・デフォルトのパラダイムを必要とする

2024年2月3日

NASAは4月、ネットワークに接続された無許可で安全が確保されていないRaspberry Piがハッキングされ、500MBのデータが盗まれていたことを発見しました。Raspberry Piは、接続されたデバイスやツールを急速に開発するための優れたプラットフォームですが、こうしたデバイスに対するセキュリティの懸念は、グローバル市場で人気を博すにつれて高まってきています。開発者やネットワーク管理者は、自分のネットワークに接続されたデバイスやサービスにはどれだけのリスクがあるのか、そしてそれに対して何ができるのかを自問自答する必要があります。

インターネットストームセンターによると、公衆インターネットに接続された機器は、1時間以内に検知される可能性があります。20年前、インターネット上の単一のデバイスは、インターネットの37億のアドレス空間内の1つの小さな斑点として、不明瞭さによるセキュリティに依存することができました。現在では、ZMAPのようなツールを使えば、IPv4アドレス空間全体を1時間程度でスキャンすることができます。ZMAPは、学者やサイバーセキュリティ研究者が使用するツールですが、合法的なアプリケーションやそうでないアプリケーションのために、多くの類似したツールが存在します。

Security by obscurityはもう古い。

接続されたデバイスがネットワークに接続してから1時間以内に第三者に検知されることを知ると、セキュリティに関心のある人は、「自分のデバイスが侵入者に検知されたとき、ハッカーを撃退する準備はどの程度できているのか」という疑問を抱くはずです。

そのため、各社はRaspberry Piや その亜種を、デフォルトでSSHを無効にした状態で出荷し始めた。SSHをデフォルトで無効にすることは、Raspberry Piを検出したハッカーがデフォルトのユーザー名とパスワードを適用してシステムに侵入できた場合に、シンプルで効果的な解決策です。SSHを無効にすることで、ハッカーの攻撃ベクトルを完全に閉じることができます...誰かがSSHを使う必要があり、それをオンにするまでは。彼らはデフォルトのパスワードを変更するのだろうか?自動化された攻撃でクラックするのが難しく、時間のかかるパスワードを選ぶだろうか?

その答えは、開発者がコネクテッドデバイスをデフォルトで最も安全な状態にセットアップし、その後、セキュリティを維持しながら正規のユーザーがデバイスにアクセスできるような方法で、体系的にセキュリティを開放することです。高速で自動化されたハッキングが主流であるため、コネクテッドデバイスやサービスを扱う開発者は、セキュリティを標準にする必要があります。ユーザーとしては、接続されたデバイスを最もロックダウンされた状態に設定し、安全なプロトコルに従って意図的かつ体系的にネットワーク機能を開放するというアプローチをとることがベストプラクティスとなります。

ここでは簡単なチェックリストを紹介します。

  • 起動時には、ポートフォワーディングを含むすべてのサービスをオフにしてください。端末を外部とやり取りしないロックダウン状態にする設定がある場合は、それをオンにします。
  • ファームウェアをアップデートする。
  • ネットワークサービスを有効にする場合、通信タスクを実行するための最小限の権限を設定します。
  • デフォルトのパスワードがあれば変更する。

これは、コネクテッドデバイスやサービスにおける基本的なセキュリティの出発点として有効なものです。開発者はセキュリティの専門家ではありませんが、このチェックリストに従うことで、接続されたデバイスやサービスを設定する際によくある、回避しやすい脆弱性をいくつか回避することができます。

そして、デフォルトのパスワードは絶対に使用しないでください。

リモート.イット接続されたデバイスを保護する別の方法

セキュリティ上の脆弱性の多くは、過失や怠慢によって発生します。例えば、あなたのデバイスが多くのネットワークサービスをオンにしていることに気づかず、チェックしなかったとします。SSHを使うことを急いだために、デフォルトのパスワードを変更しなかったのかもしれません。

remote.itは、接続されたデバイスとリモートで通信するための代替手段を提供します。remote.itが有効なデバイスは、他のremote.it対応デバイスとの通信機能を維持したまま、インターネットの広範なプローブに対して無反応な「ドロップスタンス」を取ることが可能です。このデバイスは、インターネットによる盗聴に対して事実上透明となり、攻撃対象がなくなります。remote.itを搭載したデバイスは、remote.itを「DNS as a service」のように使用して、remote.itデバイス間のTCP/IP上の保護された通信をルーティングし、インターネット上で他のデバイスと通信することができます。また、開発者はremote.itデバイスを直接ピアツーピアで接続することも可能です。

remote.itがどのように接続されたデバイスやサービスを保護し、デバイスのための仮想プライベートインターネットを作成するかについては、こちらから無料の開発者用アカウントにサインアップしてください。

関連ブログ