狙われた大量のIoTデバイス　なぜ攻撃される？　有効な対応策は

これは開発責任者のリテラシーにも大きく依存すると思います。弊社はエンジニアを抱え、完全内製化しており、まだ受注の割合も多いので世の中に出ているIoT１つのディバイスの開発にどれだけ工数が掛かるかをよく理解していますが簡単にIoTを始めるのは如何に怪我するか、ヒヤヒヤします。笑
そのリテラシーの差は先方の要件提議の際に強く感じます。
例えば天気情報だけで一日数億のデータを扱いますが、とんでも無い世界に足っこんだな、と思います。笑
ただ、それを差し引いてもとてもエキサイティングな世界だと思います。

IoTだけではなくて、インフラなどのセキュリティも合わせて対処対策されなければならない時代です。サイバー領域からフィジカル領域の橋渡しをしているのがIoTですが、それぞれの領域のセキュリティもまだまだ経営者の意識も現場での対応も不十分な状態です。
「止めようと思えばいつでも止められる」と専門家が言うように、部分的な対策ではもはやどうにもならないところまできてしまっています。

2016年のMirai前と後では、IoTデバイスベンダーの意識も大きく変わっています。
今どきIoTデバイスとサーバー間の通信がSSL(*)で暗号化されていないという状況は考えられず、SSLでリアルタイム通信ができるだけのCPUパワーは当然どのデバイスでも必要になります。それであれば、認証、認可に使われるパスワードファイルも十分な強度の暗号化(ハッシュ)を施すことができます。
現在販売されているデバイスであれば、この記事に書かれているような懸念はないと考えていいでしょう。
一般消費者ができるIoTデバイスのセキュリティー対策としては、「最新のものに買い替える」ことしかありません。(ファームウェアのアップデートが提供されていれば、それを適用することでOK)

(*)プロトコル名は、SSLからTLSに変わりましたが、現場ではTLSも含めてSSLと呼びます。

この記事の著者であるDigiCertは、SSLの証明書を販売しているベンダーですから、PKIが重要であると「宣伝」するのは当然です。
ちなみに、私のところへデジサート・ジャパンから届くメルマガは、旧社名(シマンテックウェブサイトセキュリティ)のリンク(URL)が含まれているために、Gmailでは洩れなく迷惑メールに振り分けられるという、セキュリティーベンダーとしてはたいへんお粗末な状況になっています。

PCと違って端末に対しての対策を消費者がすることが難しいIoT機器。ネットワーク設定である程度回避できますが、とはいえの部分もあります。この辺りは製造者側がきちんと対応する必要があるかと思いますが、コスト投資してもそのメリットが消費者に伝わりにくい部分。記事ではPKIについて触れられていますが、こういった対策をいかに行っていくか、そろそろ制度で縛ることも考えていく形なのかなとも感じます。