IoT Top 10 2018

I1 脆弱な、推測可能な、またはハードコードされたパスワード

簡単にブルートフォースできる資格情報、ハードコードされている資格情報、公開されている資格情報、または変更不可能である資格情報の使用が該当します。運用しているシステムへの不正なアクセスを可能にする、ファームウェアやクライアントソフトウェアのバックドアも対象です。

I2 安全でないネットワークサービス

デバイス自体で実行されている、不必要なネットワークサービスまたは安全でないネットワークサービスが該当します。特にインターネットに公開されているデバイスが対象です。これらは情報の機密性、完全性、真正性、可用性の危殆化を招き、不正なリモートコントロールを可能にします。

I3 安全でないエコシステムインタフェース

デバイスの外にあるエコシステムでの安全でないウェブ、バックエンド API、クラウド、またはモバイルインタフェースが該当します。デバイスやその関連するコンポーネントの危殆化を招きます。よくある問題としては、認証や認可の欠如、暗号化の欠如や脆弱な暗号化、入出力フィルタリングの欠如があります。

I4 安全な更新メカニズムの欠如

デバイスを安全に更新する能力の欠如が該当します。デバイスのファームウェア検証の欠如、安全な配信の欠如 (転送中に暗号化されない)、アンチロールバックメカニズムの欠如、更新によるセキュリティ変更の通知の欠如などが対象です。

I5 安全でないまたは時代遅れのコンポーネントの使用

デバイスが危殆化する可能性のある非推奨および安全でないソフトウェアコンポーネントやライブラリの使用が該当します。オペレーティングシステムの安全でないカスタマイズ、危殆化したサプライチェーンからのサードパーティソフトウェアやハードウェアコンポーネントの使用などが対象です。

I6 不十分なプライバシー保護

デバイスやエコシステムに保存されているユーザーの個人情報について、安全でない使用、不適切な使用、権限なしでの使用が該当します。

I7 安全でないデータ転送とストレージ

保存時、転送中、処理中などでのエコシステム内の機密データの暗号化やアクセス制御の欠如が該当します。

I8 デバイス管理の欠如

資産管理、更新管理、安全な廃棄など、導入して運用されている既存のデバイスに対するセキュリティサポートの欠如が該当します。

I9 安全でないデフォルト設定

安全でないデフォルト設定で出荷されているデバイスやシステム、システムをよりセキュアにする機能がないデバイスやシステムが該当します。

I10 物理的な堅牢化の欠如

物理的な堅牢化対策の欠如が該当します。潜在的な攻撃者が将来のリモート攻撃に役立つ機密情報を取得できる可能性や、デバイスのローカル制御を得られる可能性があります。

関連情報

• OWASP Internet of Things Project

• OWASP IoT Top 10 2018 final