ルーターはホーム テクノロジー用のグランド セントラル ステーションです。書斎のコンピューターやコーヒーテーブルのタブレットから、壁にあるスマート サーモスタットや子供部屋のインターネットに接続されたベビー モニターに至るまで、家庭内のすべてのスマート デバイス間の接続を管理します。消費者は、そのルートがアクセス制限された高速道路であり、ルーターが不正アクセスをブロックしながらデータを安全に転送することを期待しています。しかし、ハイテク大手ASUSTeK Computer, Inc.(ほとんどの人はASUSとして知っている)に対するFTCの訴状は、同社が消費者に販売しているルーターや「クラウド」サービスのセキュリティを確保できていないとして不公平で欺瞞的なものであるとして異議を申し立てた。この事例は、モノのインターネットに参入する他の企業にも洞察を提供します。
ASUS が自社製品を宣伝した方法。 ASUS は、自社のルーターには「不正なアクセス、ハッキング、ウイルス攻撃からコンピュータを保護」し、「ハッカーからの攻撃からローカル ネットワークを保護」できる多数のセキュリティ機能が搭載されていると宣伝しました。しかし FTCによるとASUSのルーターはそれらの約束を果たしていませんでした。さらに、同社のルーターには AiCloud および AiDisk と呼ばれるサービスが含まれており、消費者が USB ハードドライブをルーターに接続して、どのデバイスからでもアクセスできる独自の「クラウド」ストレージ (スマート ホーム用の中央ストレージ ハブのようなもの) を作成できるようになりました。 。 ASUSはこれらのサービスを「選択的ファイル共有のためのプライベートパーソナルクラウド」や「ルーターを通じて大切なデータを安全に保護してアクセスする」方法として宣伝したが、FTCはそれらは決して安全ではないと主張した。
ASUSがルーターで間違った点。 ホームネットワークを保護するルーターの重要な役割にもかかわらず、FTCはASUSがルーター上のソフトウェアを保護するための基本的な措置を講じていないと述べている。たとえば、消費者は、管理コンソールと呼ばれる Web ベースのインターフェイスを介してルーター (セキュリティ機能を含む) を管理しました。しかし、管理コンソールに蔓延するセキュリティのバグを悪用することで、ハッカーはルーターのセキュリティ設定を変更する可能性があり、ルーターのファイアウォールをオフにしたり、消費者の「クラウド」ストレージへのパブリック アクセスをオンにしたり、消費者を悪意のある Web サイトにリダイレクトするようにルーターを設定したりすることもできます。実際、多数の ASUS ルーター モデルを特にターゲットにしたあるエクスプロイト キャンペーンでは、脆弱なルーターを再構成して、ハッカーが消費者の Web トラフィックを制御できるようにしました。訴状が主張しているように、ASUSのルーターは消費者のホームネットワークを保護するどころか、ハッカーに大混乱を与えている。
ASUSの安全ではない「クラウド」サービス。 ASUSの「クラウド」ストレージサービスも安全ではなかった。 FTC によると、ルーターの IP アドレスを知っている人は誰でも (ハッカーにとってはごく普通のことですが)、認証情報なしで AiCloud サービスのログイン画面をバイパスし、消費者のストレージ デバイスにアクセスでき、消費者のファイルがインターネット上に広く公開されたままになる可能性があります。 AiDisk はそれほどうまくいきませんでした。 FTC は、このサービスが安全でないプロトコルに依存していることと、安全でないデフォルトで混乱を招く設定プロセスを行っていることを問題視しました。たとえば、消費者がこのサービスをオンにすると、デフォルトで、インターネット上の誰でも消費者のストレージ デバイス上のすべてのファイルに認証なしでアクセスできるようになります。さらに悪いことに、セットアップ ウィザードはこれらのデフォルトについて説明しておらず、何が起こっているのかを明確にしていませんでした。言うまでもなく、消費者が制限付きアカウントを作成しようとすると、サービスはログイン資格情報を全員に同じ弱いユーザー名とパスワード (家族/家族) に事前設定します。これらのセキュリティ上の脆弱性と設計上の欠陥はすべて、消費者にとって大きな問題となりました。
ASUSの対応の遅れと消費者への通知の怠り。 FTCは、ASUSがよく知られている安全なソフトウェア設計、コーディング、テスト慣行に従っていれば多くの問題を防げたはずだと述べている。さらに、セキュリティ研究者は警告を発するために ASUS に連絡していましたが、ASUS が応答するまでに数か月、場合によっては 1 年以上かかることもよくありました。たとえば、ある研究者が、彼の推定によると、25,000 人の消費者がインターネット上で公然とアクセスできる AiDisk ストレージ デバイスを持っていると報告したとき、それは ASUS のコオロギでした。実際、ASUS がこの問題に注意を払い始めたのは、ヨーロッパの大手小売店からの訴えがあってからでした。その時にはもう手遅れでした。
さらに問題なのは、ASUSがセキュリティパッチを開発した際に消費者に通知しなかったことだとFTCは主張している。ルーターの管理コンソールには、ルーターが利用可能な最新のファームウェア (ルーターに組み込まれているソフトウェア) を使用しているかどうかを確認できるツールがありました。しかし、研究者がASUSに警告したように、アップグレードツールは正常に機能していませんでした。訴状によると、1年以上が経過しても、重要なセキュリティアップデートを含む新しいファームウェアが入手可能になったにもかかわらず、消費者は依然として「ルーターの現在のファームウェアは最新バージョンです」というメッセージを受け取り続けていたという。
侵害された数千のルーター。 これは、ASUS のルーターと「クラウド」サービスが、消費者のホーム ネットワークと個人ファイルをハッカーや個人情報窃盗者のなすがままにしておくことを意味しました。次に何が起こったかは推測できます。ハッカーはツールを使用して、数千台の脆弱な ASUS ルーターの IP アドレスを特定しました。ここからが話が非常に興味深いところです。 AiCloud の脆弱性と AiDisk の設計上の欠陥を悪用し、数千の消費者の USB ストレージ デバイスに不正にアクセスしました。しかし、彼らは静かに行き来しませんでした。彼らはデバイス上に次のようなテキスト ファイルを残しました。 「これは影響を受ける全員に送信される自動メッセージです(原文どおり)。あなたの Asus ルーター (およびドキュメント) には、インターネット接続があれば世界中の誰でもアクセスできます。」
ASUS のセキュリティに関する主張は欺瞞的だったかもしれませんが、消費者のルーターやドキュメントには世界中の誰もがアクセスできるというハッカーの警告が真実であることが判明しました。たとえば、ある消費者は、ID 窃盗犯が、納税申告書やその他の財務データを含む USB ストレージ デバイス上の機密情報を使用して、不正な請求を積み上げ、彼の ID を台無しにしたと報告しました。脆弱な ASUS ルーターが公開した個人ファイルが大手検索エンジンによってインデックスされ、オンラインで検索できるようになったと不満を漏らす人もいます。
FTCの申し立て。 の 訴訟 ルーターが消費者のローカルネットワークを攻撃から保護するために合理的な措置を講じたこと、AiCloudとAiDiskは人々が機密情報にアクセスするための安全な方法であること、ファームウェアアップグレードツールが正確であることを保証するASUSの主張は虚偽または誤解を招くものであるという異議。訴状ではまた、ASUSがルーター用のソフトウェアを保護するための合理的な措置を講じなかったことが不当な行為だったと主張している。
ASUSはどう変わらなければならないのか。 の 提案された順序 これにはFTCの和解で標準となっているセキュリティ条項が含まれていますが、それ以外にも何かがあります。ソフトウェアアップデートや、消費者が将来セキュリティ上の欠陥から身を守るために講じることができるその他の措置がある場合、ASUSは消費者に通知する必要があります。重要なのは、今回の和解により、ウェブサイトに通知を掲載するだけでは十分ではないことが明らかになったということだ。 (ルータの製造元の Web サイトに定期的にアクセスする人がいるでしょうか?) さらに、提案されている命令では、ASUS が電子メール、テキスト メッセージ、プッシュ通知などの直接通信を通じてセキュリティ通知を受信するための登録方法を消費者に提供することを要求しています。消費者が「設定しただけで忘れてしまう」ことが多いモノのインターネットでは、この種の直接コミュニケーションは消費者にメッセージを確実に伝えるための重要なツールとなり得ます。和解に関するコメントは 2016 年 3 月 24 日までに提出できます。
あなたの会社がモノのインターネットに興味を持っている場合、この事例では、慎重な接続を維持するための 6 つのヒントが提供されています。
- まずはセキュリティから始めましょう。 ASUS のルーターには多くの古典的な脆弱性がありましたが、AiDisk の問題はバグや不具合を超えていました。訴状によると、同社が選択した安全でないプロトコルと、わかりにくく安全でないユーザーインターフェースの両方において、最初から安全ではなかったという。はい、製品をできるだけ早く市場に投入したいと考えていますが、最初にセキュリティを設計するのに時間をかけてください。これは、1 つの製品の安全でない設計が複数の接続されたデバイスに影響を与える可能性があるモノのインターネットにおいては特に重要な考慮事項です。
- 顧客の目を通して製品をデザインします。 家庭用のコネクテッド製品を販売する場合、顧客は初心者からプロまで幅広い範囲に及ぶ可能性があります。では、開発者はスペクトルの両端にいる人々とどのようにコミュニケーションできるのでしょうか?ここで考慮すべき視点があります。テクノロジーにあまり詳しくない消費者は、複雑すぎる製品について不満を抱くことがよくあります。しかし、インターフェイスが明瞭すぎる、または単純すぎるという洗練されたユーザーの不満を聞いたことがあるでしょうか?
- 人々が最初からより安全なオプションを簡単に選択できるようにします。 デフォルトとセットアップ手順のセキュリティへの影響には特に注意してください。複雑な迷路のような画面に落胆した消費者は、デバイスを不適切に設定したり、既製の選択肢に固執したりする可能性があります。だからこそ、AiDisk の場合のように、システムのデフォルトを「オープン」、つまり安全ではないものに設定するのは危険です。テクノロジーの専門家にカスタマイズ可能な機能を提供するのは素晴らしいことですが、賢明な開発者はデフォルトでのセキュリティの利点を考慮しています。
- セキュリティ警告に注意してください。 最近の多くのケースで、FTCは企業が製品の潜在的な脆弱性に関する信頼できる警告に対処していないと指摘している。セキュリティの問題に気づいた場合、調査を行って、懸念が正しいことが判明した場合はすぐに顧客に連絡するのが賢明です。
- 修正について消費者にどのように知らせるかをよく考えてください。 誰かが問題を発見し、あなたがそれに対処するパッチを設計したとします。これは重要な最初のステップですが、これで仕事は終わりではありません。セキュリティ パッチは、お客様がインストールした場合にのみ有効です。先見の明のある開発者は、事後的に人々に通知するという課題に対処するために、もしもの事態を想定した緊急時対応計画を組み込んでいます。
- 他の FTC 訴訟から教訓を学びましょう。 FTCによると セキュリティから始める 出版物では、何が合理的であるかを決定する万能の公式はありません。しかし、データ セキュリティに関するあらゆる苦情は、特定の状況で問題を引き起こす可能性のある慣行についての教訓を提供します。 ASUSの苦情の第30項 脆弱なデフォルトのログイン資格情報、より安全なプロトコルがすぐに利用できるのに安全でないプロトコルを選択する、業界で認められたテストをスキップする、よく知られている脆弱性に対する低コストの保護を実装していないなど、数十の問題を要約しています。
さらにヒントをお探しですか? 「接続に注意: モノのインターネットでのセキュリティの構築」をお読みください。
