【インタビュー】IoTセキュリティ、製造側も知っておきたいの最新事例を脆弱性診断のプロ集団に聞く!(株式会社イエラエセキュリティ)
※ この記事は 2017年05月18日に DX LEADERS に掲載されたものです。
モノのインターネットといわれているIoT。昨年、ネスレ日本株式会社のコーヒーマシーン「ネスカフェ ゴールドブレンド バリスタ i [アイ]」にIoTが搭載され、目が覚めると同時に、好みの味のコーヒーを提供することも可能になった。私たちの身の回りにある各種センサーや、スマート家電、防犯カメラなどもネットワークとの接続は当たり前になっている。一方で、セキュリティ面の懸念も浮かび上がっている。
IoTセキュリティの最新事例や、今後のIoTセキュリティについて、脆弱性診断のプロ集団である株式会社イエラエセキュリティに伺った。
同社はWebアプリケーション、iOS・Androidアプリなどの脆弱性診断を行うセキュリティ企業であり、経産省主催のCTFチャレンジジャパンや、世界最大のハッキングイベントであるDEFCON CTFにて好成績を残したホワイトハッカーチームのメンバーが中心となり創業。高精度の技術を有するハッカーの診断能力が認められ、大手企業やセキュリティベンダから脆弱性診断業務の実績も豊富な企業である。
IoT機器への攻撃はインターネットができたころのパソコンのよう
2016年10月、米国企業が大規模なDDoS攻撃を受けた。主な攻撃元は、”Mirai”というマルウェアに感染したネットワークカメラやルーター等のIoT機器で構築されたボットネットであるとみられている。
「このようなDDoS攻撃の事例として、まず企業のサーバーに対してサーバーの処理能力を上回る大量の通信を発生させ、サービスを使えなくする。そのうえで、”攻撃を止めて欲しければお金を払え”と、サービスを人質にして金銭を要求する。という手法があります。2016年10月のDDoS攻撃で脅迫があったかどうかは不明ですが、DDoS攻撃を利用して金銭を要求する事例は以前からありました。」(同社)
さらに、同社はこう付け加える。
「2016年10月の攻撃では、このDDoS攻撃にIoT機器が利用されました。マルウェア”Mirai”は、Wi-Fiルーターやネットワーク機器などのIoT機器の中で、弱いパスワード、例えば、“root”や“password”といったありがちなパスワードや初期設定のパスワードが設定されたままになっているものを探して入る仕組みになっています。」(同社)
”Mirai”は感染したIoT機器を踏み台にして感染拡大を図る際に、初期設定のログイン情報で他の機器に侵入を試みていたのである。
2016年1月には、海外のWebサイトで非公開のネットワークカメラの映像が数多く公開されていることが日本国内でも話題になった。これも同様に、ログイン情報が初期設定であったために起こった事案である。
ユーザーはパソコンやWebサービスにおいて、パスワードは必ず変更するように、デフォルトのものは使わないようにしているはずだ。しかし、IoT機器に関しては便利さが先行しており、セキュリティ面への意識が至っていない可能性もある。まるで、インターネットができたころのパソコンのようである。
IoT製品に対する攻撃は、製品の性質に依存してくる。インターネットに接続できるゲーム機であれば、ゲームの海賊版やチートにはじまり、個人情報の抜き取り、有害コンテンツの配信など様々な被害が想定される。スマート家電の冷蔵庫であれば、冷蔵庫の中身を盗み見られる。ロボット掃除機であれば、本来床を向いているはずのごみを検知するカメラが、気付いたら遠隔操作によって部屋を見渡せるようになっていた、ということもありうる。攻撃者の心理としては、IoTでもIoT以外でも変わることはない。多くの攻撃の動機は、個人情報などのデータが欲しい、盗撮・盗聴目的、盗み取ったデータを人質として金銭を得るためである。
システムへの侵入ゼロは不可能。本当に守りたいものは分離するなどの危機管理を
2035年、IoTデバイスは累積で1兆を越えることになるという。そこで、どのような対策をとっていけばよいのか。
「IoT機器も、パソコンも守るべきポイントは一緒です。パソコンは、守る側の知見も貯まってきました。ウイルス対策、アップデートや、万が一感染してしまった時にするべきことなども一般的になってきています。IoTに関しても、パソコンと同じような対策が必要になっていきます。」(同社)
同社は、製造者側にも気を付けるべきポイントを提言されていた。
「ユーザーがデフォルトパスワードを変更することはもちろんなのですが、そもそもユーザーがパスワードを変更できない機器もある。しかし、プログラムの中にはパスワードが記述されている。プログラム中にある開発時の隠し機能やデバッグ用アカウントがハッカーに発見されてしまい、ユーザーの知らないうちにデータが盗み取られることもあるのです。」(同社)
製造者としても、隠し機能やデバッグ用アカウントは出荷時OFFにすること、パスワードはユーザーでも変更できるように仕様を検討する必要がある。
さらに同社はこう語る。
「IoT機器の例として、機器のベースにシングルボードコンピュータ”Raspberry Pi”が使われることがあるのですが、その場合はプログラムがSDカードに格納されていて簡単に読み出せてしまうので、プログラムはまず解析されると思っていたほうがいい。解析されるのであれば、暗号化・難読化の対応をすることで、解析の難易度を上げるといった対策も取れます。」(同社)
現状、製造者側にこういった対応について、ガイドラインが明示されているわけではない。今後整備が進む可能性はあるが、より安心して使えるようにするには、製造者側の危機管理も非常に重要なポイントとなる。システムへの侵入ゼロにすることは困難と考え、本当に守りたいものを分離するといった工夫も必要なのである。また、異常検知や、ログの取得といった基本的な対策も不可欠なのである。
セキュリティは普遍。攻撃者の欲しい情報は変わらないからこそ、当たり前の対策を
冒頭でIoTは初歩的な手法で攻撃されると触れたが、セキュリティ対策も基本を押さえることが重要である。
ただし、同社はこうも加えている。
「これから機器が増えていく中で、一人一人に負荷のかかる方法でセキュリティ対策をするのはオススメできません。例えば、パスワードの定期変更を1カ月に一回薦めているところもあると思いますが、毎月パスワードを変更しても、人間の記憶には限界があります。諸説ありますが、そうすると、どんどん単純なものにしてしまう可能性があります。その結果、かえって侵入者にとって侵入しやすいパスワードとなってしまう、というリスクもあるのです。」(同社)
カメラやマイクなどの入力機器が様々なデバイスに存在している。オフィスを見渡してもいくつカメラやマイクが存在するか…個人のデバイスも含めると、数えきれないほどの入力機器が存在することになる。これらの入力機器が知らないうちにONになっていたら…影響は計り知れない。
今後もさらにIoT機器は増えていく。モノがインターネットにつながり、私たちの生活やビジネスもよりいっそう豊かになっていくであろう。しかしセキュリティは普遍的であり、攻撃者が狙う情報は変わらない。利用者も初歩的な対策ができていないために、攻撃にさらされてしまうリスクがある。
しかし、ユーザーだけに頼るセキュリティも、機器が増える分負荷も高まるため、限界がある。機器側だけではなく、機器を制御するクラウド事業者においても、IoTのセキュリティ対策を行っている。例として、Microsoft Azureが提供するIoT のセキュリティ対策ソリューションを挙げる。
IoT機器をインターネットから分離された完全閉域網で接続し、通信経路の安定性と高いセキュリティを確保可能とした「IoTプラットフォームサービス on Azure」(NECネッツエスアイ株式会社・株式会社FIXERが提供)、遠隔に設置されている機器や、大量に設置されているIoT機器を監視・管理するようなデバイス管理機能を付加し、セキュリティ面の強化と運用負荷の軽減を実現する「IoTビジネスプラットフォーム IoTデバイス管理機能」(日本ユニシス株式会社・ユニアデックス株式会社)もある。IoT機器をより安心安全にビジネスに活用するために、上記のようなソリューションを検討していくことも手段の一つであろう。
先進的なものほど、原点に立ち返ることが大切だ。これまでの利用の仕方を守り続けることで、私たちのビジネスが脅威にさらされる危険性を少しでも減らすことにつながるのではないだろうか。同時に、製造側も利用者の安心安全を考慮して開発することや、脅威があった際にもすぐに検知ができ、スピード感を持って解決できるような仕組みづくりも重要である。
取材・文:池田 優里
