クーポン情報〜8/31までお得にセットが購入可能です。「ラズパイ4用アーマーケース」

身近な場所で見つかるRaspberry Pi、セキュリティリスクについて考えてみた

find-rpi-security-title特集記事
この記事は約7分で読めます。
スポンサーリンク

このサイト名「ラズパイダ」の由来は、色んな場所にRaspberry Pi が組み込まれているのを見付けて「あっ、ラズパイだ!」と言ったことから命名しました。

ここ数年は、Raspberry Pi が何かしらのシステムに利用されるのは、あまり驚かなくなってきました。だいぶ市民権を得てきたと思います。

しかし、様々な場面で使えるRaspberry Pi は、便利な反面、セキュリティには気を付けないといけません。

Windowsのようにユーザーが増えればそれだけ標的にされる確率が上がります。

どういう所にRaspberry Pi が使われているのか事例をご紹介します。セキュリティリスクについても考えてみてください。

皆さんの身近なRaspberry Pi

こちらでご紹介する事例は恐らくセキュリティ対策が施されていると想像されます。Raspberry Pi が皆さんのご存じの場所で利用されていることがうかがえます。

注文管理システム

先日、Twitterで回転寿司チェーン「くら寿司」の注文端末がRaspberry Pi のようだというツイートを見かけました。

よく行く回転寿司チェーンだと親近感が沸きます。明確ではありませんがどうやらRaspberry Pi 4Bのようです。

実際の設置は分かりませんが、画像のようならばUSB端子にアクセスできる状態って大丈夫でしょうか。

ゴミ箱にRaspberry Pi

沖縄には「絶対あふれないごみ箱」があるニュースです。

これは超音波センサーとLTE通信を利用して、ゴミ箱の残量をリアルタイムで知るシステムです。記載はありませんでしたが恐らくRaspberry Pi 3Bです。

素晴らしい仕組みです。ただ、設置場所が無人のためセキュリティリスクは高まりますね。

デジタルサイネージとして

北九州高速鉄道で使われている記事はRaspberry Pi が重要なサービスを担っています。

発車時刻を表示するデジタルサイネージです。中身はRaspberry Pi 3 Model B。システム以外にはPC用ディスプレイと接続するだけで実現できます。

電車の時刻は重要な情報です。これもハッキング操作は防止したいですね。

ラズパイダでも取り上げたデジタルサイネージは米国ユニバーサルスタジオでも!

新型コロナウィルス対策のテレワークに活用

先日、このコロナ禍において、タイムリーなニュースがありました。Raspberry Pi 4Bを使ったNTTの「シン・テレワークシステム」です。

新型コロナ対策として、すぐに利用できる無償のリモートデスクトップ環境を提供するサービスのことです。しかもVPN接続で安全です。

緊急時に利用できるように、特に事前の登録などは必要無いという仕組みで、Windows対応のクライアントソフトをインストールすれば、2020年10月31日まで無償で利用可能です。

Raspberry Pi 4Bを利用した結果、消費電力がかなり少ないため、本体も含めローコストで実現できるとしてニュースになりました。

こちらは仕組みからしてもセキュリティが高いと想像できます。セキュリティ対策が充分でなければ公開できないでしょう。不特定多数の接続は運用が難しいですね。

これまでと異なった脅威

パソコン関係ではコンピュータウイルスの話題は耳にしたことがあるかと思います。

ウィルスと言っても悪意を持ったプログラムのことです。我々がかかる新型コロナウィルスのように感染し広がるようプログラミングされています。メールやUSBメモリーなどから感染するパターンがこれまで一般的です。

これらの対策として、会社では個人のPCは持ち込まない、USBメモリーは使わない、などされてきました。アンチウィルスソフトをインストールすることも当たり前になっています。これらは最低限の防衛策です。

更に現在では、インターネットに繋がっていること自体が脅威にもなりかねません。

サーバーに侵入されたというニュースも耳にされたことがあるでしょう。仮想通貨が盗まれたこともありました。

他にも監視カメラやWebカメラがちまたに増えた結果、インターネットに繋がっているセキュリティの甘いカメラなどは容易にアクセスされ、情報を盗み見られるだけでなく、ハッキングされ勝手に操作されるような事案も耳にします。

あるサイトに世界中のWebカメラの映像が流出した騒動も記憶に新しいです。

これまでと異なり、人が操作するPCではなく、機器が単独でインターネットに接続しているケースが増えました。Iotデバイスと呼ばれます。セキュリティに関していえば頭が痛い話です。【Iot = Internet Of Things】(モノのインターネット)

狙われるRaspberry Pi

インターネットのリスクというのは、現在は深刻な問題になっています。特に企業では情報漏洩などが頻繁にニュースとなり、その対応が求められています。

中でも一番厄介なのは、踏み台にされることだと思います。

これまで同様にコンピューターウィルスも相変わらず存在しています。しかし、それ以上に踏み台、つまり、犯罪の中継地点にされることは非常に怖いことです。

直接的に対象のサーバーへ侵入するのではなく、先ずはセキュリティが脆弱な状態で公開されているサーバーに侵入し、そこから標的に攻撃を仕掛けるという方法です。

とても有名な事件が2019年に判明しました。あの米NASAへのアタックです。

the Publishing Office of NASA Glenn Research Center.

2019年6月18日に同局の監察総監室から発行されたレポートによると、攻撃者は2018年4月に同局のジェット推進研究所(JPL)のネットワークに侵入し、火星プロジェクトに関する機密データを盗み出しました。同局はこの攻撃を「標的型攻撃」と位置付けており、現在も調査中であると発表しています。
多岐にわたるサイバー攻撃の中でも、標的型攻撃は、その巧妙な手口と内部活動から「気づけない攻撃」とされています。NASAが受けたサイバー攻撃は、その「気づけない攻撃」の典型でした。しかも、IoT時代の新たなリスクが含まれる事例と言えます。….

引用元:Raspberry Piから侵入 ~NASAの事例から学ぶIoT時代のセキュリティ~

このNASAへのサイバー攻撃が大きなニュースになったのには別の側面がありました。

侵入のポイントが「Raspberry Pi」だった!

単純にRaspberry Piを使った攻撃でありません。先程のように踏み台としてRaspberry Pi を使ったわけです。一歩間違うと、犯人として疑われることもあるでしょう。

このように、趣味で何かしらのサーバーを公開しただけなのに、そこを拠点にウイルスをばらまかれたり、サイバー攻撃の拠点になったりすることも充分に考えられるわけです。

感覚として「別にウチのサーバーが狙われても大したものはない」と思いがちです。
しかし、情報が重要かどうかは、攻撃する側が決めることであり、自身が大したことは無いと思っていても攻撃する側の思惑は分かりません。

特に企業では必ずと言って良い程、個人情報は保持しているはずです。これが流出すれば、どんな会社でも信頼という意味では大問題になります。

まとめ

過敏になることはありませんが、これだけRaspberry Pi のような簡単にインターネットへ公開できる機器が増えた現在では、最悪のケースも想定したセキュリティ対策は講じておくべきだと思います。

あなたの会社やご家庭のセキュリティ対策は万全でしょうか?

Iotデバイスにもセキュリティ対策が重要な時代—あなたのRaspberry Piは大丈夫?
【スポンサード:トレンドマイクロ株式会社】最近、当...
タイトルとURLをコピーしました