先週はライトニングを利用したIoT機器を電子工作する、という内容の記事を書かせていただきましたが、今回はそれと関連して「LNを活用したIoT機器へのソフトウェアアップデートの配信」に関する、Sensorsという科学ジャーナルに今月掲載されたばかりの論文を紹介させていただきます。
IOT機器のセキュリティ上の弱点
IoT機器にはセキュリティ上の懸念があると良く言われます。特に低機能で自身をアップデートする機能を持たないもの、例えば照明や家電などは、販売後にセキュリティ上の問題が発見されても回収・アップデートすることが困難なため、クラッキングの標的になってしまう可能性があります。これによって、家庭のネットワーク上の他の機器にまで被害が及ぶ可能性もあります。
また、屋外に設置されているIoT機器の中にはアクセスが困難な位置に存在するものも多く、アップデートをしようと思ってもコストがかさみます。
これらのことから、IoT機器はセキュリティアップデートが施されにくいとされ、一部の人に将来的な脅威として認識されています。実際の攻撃例として、マルウェアに感染したIoT機器がDDoS攻撃(webサイトなどにいろんな場所から大量にアクセスしてサーバーに負荷をかける行為)に利用されたり、監視カメラの映像が盗み見られたりしています。今後は医療機器などのランサムウェアのようなものへの感染も懸念されます。
P4UIOTというソリューション
P4UIoT (pay-per-piece patch update delivery for IoT using gradual release)は今回の論文のタイトルにもなっている、ベンダー以外のノードがIoT機器にパッチを配信することに経済的なインセンティブを加えるという提案です。
IoT機器にパッチを配信するための従来の提案では、ネットワーク構造がベンダーに依存しているため帯域幅などの問題でスケーラビリティの面が非現実的であったり、あるいはネットワーク構造が分散されていてもパッチを他者に配信するインセンティブがなかったり、IoTデバイス自体に仮想通貨ウォレットが必要で攻撃ベクトルを増やしてしまう恐れがありました。今回の提案は、ノードにパッチを配信するインセンティブを与えることと、実際の配信には別のP2Pファイル共有システムを利用する点が特徴です。
BitTorrentなどのP2Pファイル共有システムには「チョーキング」という負のインセンティブ(配信せずに受信のみしているノードは受信の優先順位が低い)によってファイル配信を促す仕組みがありますが、パッチのような不人気なコンテンツを配信させる力は弱いです。そこで、P4UIoTはLNとBitTorrentの両方を利用して、パッチの一部を配信するたびに報酬が得られるようにします。
仕組み
ネットワーク参加者はベンダー(メーカー)、配信者、IoTデバイスの3種類に分けられます。全てLNに接続していますが、IoTデバイス自体にあるのは署名鍵を持つライトクライアントのみです。(性能・コストの問題で)