IoT Top 10 2018

I1 脆弱な、推測可能な、またはハードコードされたパスワード

簡単にブルートフォースできる資格情報、ハードコードされている資格情報、公開されている資格情報、または変更不可能である資格情報の使用が該当します。運用しているシステムへの不正なアクセスを可能にする、ファームウェアやクライアントソフトウェアのバックドアも対象です。

デバイス自体で実行されている、不必要なネットワークサービスまたは安全でないネットワークサービスが該当します。特にインターネットに公開されているデバイスが対象です。これらは情報の機密性、完全性、真正性、可用性の危殆化を招き、不正なリモートコントロールを可能にします。

デバイスの外にあるエコシステムでの安全でないウェブ、バックエンド API、クラウド、またはモバイルインタフェースが該当します。デバイスやその関連するコンポーネントの危殆化を招きます。よくある問題としては、認証や認可の欠如、暗号化の欠如や脆弱な暗号化、入出力フィルタリングの欠如があります。

デバイスを安全に更新する能力の欠如が該当します。デバイスのファームウェア検証の欠如、安全な配信の欠如 (転送中に暗号化されない)、アンチロールバックメカニズムの欠如、更新によるセキュリティ変更の通知の欠如などが対象です。

デバイスが危殆化する可能性のある非推奨および安全でないソフトウェアコンポーネントやライブラリの使用が該当します。オペレーティングシステムの安全でないカスタマイズ、危殆化したサプライチェーンからのサードパーティソフトウェアやハードウェアコンポーネントの使用などが対象です。

デバイスやエコシステムに保存されているユーザーの個人情報について、安全でない使用、不適切な使用、権限なしでの使用が該当します。

保存時、転送中、処理中などでのエコシステム内の機密データの暗号化やアクセス制御の欠如が該当します。

資産管理、更新管理、安全な廃棄など、導入して運用されている既存のデバイスに対するセキュリティサポートの欠如が該当します。

安全でないデフォルト設定で出荷されているデバイスやシステム、システムをよりセキュアにする機能がないデバイスやシステムが該当します。

物理的な堅牢化対策の欠如が該当します。潜在的な攻撃者が将来のリモート攻撃に役立つ機密情報を取得できる可能性や、デバイスのローカル制御を得られる可能性があります。