画像ソース:Anton Petrus | Getty
超高速の速度と強化されたセキュリティ保護を備えた真の5Gワイヤレスデータは、世界中に展開するのに時間がかかりました。拡張された速度と帯域幅を低遅延接続と組み合わせて、モバイル テクノロジが普及するにつれて、その最も宣伝されている機能の 1 つが注目され始めています。しかし、このアップグレードには、潜在的なセキュリティ上のリスクが数多くあります。
スマートシティ、センサーから農業用ロボットなどに至るまで、5G 対応デバイスが新たに大量に登場し、Wi-Fi が実用的でない場所や利用できない場所でもインターネットに接続できるようになりつつあります。個人は、光ファイバー インターネット接続を家庭用 5G 受信機と交換することを選択することさえあります。しかし、今週ラスベガスで開催された Black Hatセキュリティ カンファレンスで発表された調査によると、通信事業者が IoTデータを管理するために設定したインターフェイスには、セキュリティ上の脆弱性がたくさんあります。そして、これらの脆弱性は、業界を長期的に苦しめる可能性があります。
ベルリン工科大学の研究者である Altaf Shaik氏は、モバイル データの無線周波数規格における潜在的なセキュリティとプライバシーの問題を何年にもわたって調査した後、開発者が IoTデータにアクセスできるようにするために通信事業者が提供しているアプリケーション プログラミング インターフェイス (API) を調査することに興味があったと述べています。
これらは、たとえば、リアルタイムのバス追跡データや倉庫の在庫に関する情報を取得するためにアプリケーションが使用できるパイプです。このような API Web サービスではどこにでもありますが、主要な通信サービスでは広く使用されていないとShaik氏は指摘します。
Shaik 氏と同僚の Shinjo Park 氏は、世界中の 10 のモバイル キャリアの 5G IoT APIを調べて、それらすべてに共通ではあるが深刻なAPIの脆弱性があることを発見しました。
IoTサービス プラットフォームの設計は5G規格では規定されておらず、各キャリアや企業が作成して展開する必要があります。つまり、その品質と実装には大きなばらつきがあります。5Gに加えて、アップグレードされた 4Gネットワークは、IoTの拡張もサポートし、IoT サービスプラットフォームとそれらにフィードする API を提供できる通信事業者の数を増やすことができます。
研究者は、分析した 10の通信事業者でIoTプランを購入し、IoT デバイスのネットワーク用に特別なデータのみの SIM カードを入手しました。このようにして、彼らはエコシステム内の他の顧客と同じようにプラットフォームにアクセスできました。
API の設定方法の基本的な欠陥 (認証の脆弱性やアクセス制御の欠落など) により、SIM カードの識別子、SIM カードの秘密鍵、どの SIM カードを購入したかの ID、請求情報が明らかになる可能性があることがわかりました。また、場合によっては、研究者は他のユーザーのデータの大量のストリームにアクセスしたり、制御できないはずのコマンドを送信または再生することで IoT デバイスを特定してアクセスしたりすることさえできました。
研究者は、テストした10 の通信事業者では開示プロセスを経て、これまでに発見された脆弱性の大半が修正されていると述べました。Shaik氏は、IoT サービス プラットフォームのセキュリティ保護の品質は大きく異なり、より成熟しているように見えるものもあれば、「同じ古いセキュリティ ポリシーと原則に固執している」ものもあると述べています。
彼は、この問題がどれほど広まっている可能性があるかについての懸念から、グループがこの作業で調査した通信事業者の名前を公表していないと付け加えた. 通信事業者のうち 7 社はヨーロッパ、2 社は米国、1 社はアジアを拠点としています。
Shaik氏は、彼と彼の同僚が、さまざまな欠陥を発見した後、他の顧客をハッキングしたり、不適切なことをしたりしていないことを強調しています。しかし彼は、キャリアのどれもが研究者のプロービングを検出しなかったと指摘し、それ自体が監視と保護の欠如を示していると彼は言います.
調査結果は最初の一歩にすぎませんが、5G の幅と規模が完全に拡大し始める中で、大規模な新しいエコシステムを確保するという課題を浮き彫りにしています。
(via Arts Technica)
Last Updated on 2022年8月12日 by Editor
関連記事をどうぞ!
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)