IoTのテクノロジーは幅広い領域での活用が期待されていますが、一方でセキュリティにおける新たなリスクとなることも明らかになりつつあります。たとえば自宅で使っている家電製品がマルウェアに感染し、外部からのコントロールを許してしまうといった状況に陥れば、実生活の安全が脅かされることにもなりかねません。このような状況にどう対処していくべきか。NTTコミュニケーションズ株式会社のセキュリティエバンジェリストである、小山覚氏にお話を伺いました。
あらゆるモノをネットワークにつなぐIoT(Internet of Things)は、私たちの生活に着実に浸透しつつあります。すでにテレビやHDDレコーダーをネットワークに接続することは珍しくなく、さらにGoogle HomeやAmazon Echoといったスマートスピーカーの登場により、家中の家電製品をネットワーク経由でコントロールするスマートホームも夢物語ではなくなっています。
こうしたIoTは新たな利便性をもたらす一方、「セキュリティ面から見ると、いいことばかりではない」とNTTコミュニケーションズの小山覚氏は指摘します。
「従来のセキュリティ対策は、Windowsというプラットフォームが大きな役割を果たしていました。脆弱性の解消といった目的で毎月のようにOSがアップデートされるほか、アプリケーションに対しても修正プログラムやパッチが提供されます。さらに言えば、ウイルス対策ソフトを購入してPCなどにインストールすることもできます。一方、IoTの世界ではOSやアプリケーションがアップデートされないケースも多く、またウイルス対策ソフトも販売されていません。このような状況でセキュリティ対策に取り組んでいかなければならないことが、まさにIoT分野の課題ではないでしょうか」
Windowsが守ってきたセキュリティの終焉
小山氏はこのようにIoT特有の問題点を述べた上で、アメリカで交通情報の掲示板が不正に操作された事例を紹介しました。
「インターネットを利用して交通標識が運用管理されていたのですが、その管理システムにアクセスするためのパスワードが初期設定のままだったのです。初期設定のパスワードというのはくせ者で、多くの場合インターネットから自由にダウンロードできるマニュアルに記載されています。それにもかかわらず、パスワードを変更せずに運用すると、このような事故を招くことになり得ます」
交通情報が不正に変更された事例 2014年6月
小山氏自身の調査においても、無線LANルーターやネットワークカメラ、さらには太陽光発電の管理システムなど、さまざまなデバイスがインターネット上から見えてしまう状況になっていると話します。ユーザーとしては、公開しているつもりがなくても設定ミスなどによって外部から参照でき、なおかつ初期設定パスワードが使われていれば、思わぬインシデントにつながる可能性もあるでしょう。このように危険性を指摘した上で、小山氏は「パソコン以外のリスクが身の回りにたくさんあるわけです。これが今の世の中なのです」と指摘します。
ネットに接続された機器の設定画面 1/2
ネットに接続された機器の設定画面 2/2
攻撃者はIoTデバイスを外部から遠隔操作して何を行うのでしょうか。その一例として示されたのがDDoS攻撃です。
「OCNのお客さまが利用しているホームルーターを踏み台にして、第三者を攻撃するといったことも毎日のように起こっています。このデータは4年前と少々古いですが、70Gbpsというかなりのスループットで攻撃が行われています。しかも1日40回以上も起きているんです」(小山氏)
脆弱なホームルータを踏み台にするDDoS攻撃
このような攻撃の最たる例が、「Mirai」と呼ばれるマルウェアを使って構築されたボットネットです。Miraiがターゲットとしたのはホームルーターやネットワークカメラといったデバイスで、60組分の初期設定のIDとパスワードが組み込まれていて、そのいずれかがデバイスで使われていると感染してしまいます。この手法でMiraiは50万台のIoTデバイスを乗っ取り、さまざまなサービスにDDoS攻撃を仕掛けました。その際のスループットは最大で1Tbpsとも言われており、「どのプロバイダーでもこれだけの攻撃を防ぐのは難しい」(小山氏)というレベルでした。
「問題は、攻撃に加担している人、つまりMiraiに感染したIoTデバイスの所有者が何も困らないことなんです。パソコンであれば大切な情報も含まれているため、ウイルス対策ソフトを導入しようなどと考えますが、ルーターやネットワークカメラにMiraiが感染し、外部に対してDDoS攻撃を行っても自分は困りません。ですから対策が進ませんし、また仮に対策しようとしても、ウイルス対策ソフトは売っていません。こういった状況にどのように対応していくかを考えなければなりません」(小山氏)
2014年11月には、ホームルーターの脆弱性を利用してインターネット接続のためのIDとパスワードを不正取得していた業者が一斉摘発されました。取得されたIDとパスワードは中国の代理店を介して客に提供され、不正アクセスや不正中継サーバを介した不正送金などに使われていました。
不正中継業者の一斉摘発 2014年11月
このように、新たなリスクとなるIoTにおけるセキュリティ対策をどのように進めるべきでしょうか。小山氏は3つのポイントを守れば95%以上のリスクを回避できると説明します。
「まず、1つめは安全なパスワードを使うことです。初期設定のまま運用しないのはもちろん、『01234』など簡単なものは使わない、子どもの名前などわかりやすいものを設定しないといった基本を守れば、破られることはめったにありません。2つめはファームウェアのアップデートが簡便な製品を選ぶこと。そして3つめがWi-Fiを適切に設定して管理することです。これをしっかり守れば、何とか対応していけるのではないかと思います」
製品選定のポイント
ここまで解説したとおり、IoTが新たなリスクとなっている一方、企業においては標的型攻撃やランサムウェアの被害も継続して発生しているのが現状です。小山氏が所属するNTTコミュニケーションズでは、月間2,000万通近いメールのうち、昨今では100万通以上がマルウェア付きで、その90%以上がランサムウェアだと現状を説明し、その対策の難しさを次のように述べました。
NTTコムに対するランサムウェアの脅威
「標的型攻撃を模した訓練のためのメールを従業員宛に発信すると、社外からの緊急メールで3.3%、懇親会の案内メールでは18.1%の従業員が添付ファイルを開いてしまいました。これをゼロにすることは極めて難しいのが現実で、どうしても少数の従業員がファイルを開くリスクはあります。そのため、マルウェアが社内に潜伏しているという前提で対策を考えなければなりません」
このような状況でサイバー攻撃を防ぐため、NTTコミュニケーションズでは複数のログの相関分析、あるいはSandboxを使った未知のマルウェアの検知、そして出口対策や脆弱性対策などが行われているとします。
「過去には1時間に8万通ほどのランサムウェアが押し寄せて、そのうちの半分がユーザーに届くケースがありました。その際は6名のユーザーが開いてしまいましたが、ランサムウェア本体のダウンロードを阻止することで被害を回避できました。このように多層防御の考え方を取り込むことでサイバー攻撃の被害は減らせますが、それでもリスクをゼロにすることはできません。そのため、被害を抑え込む『減災』の考え方でセキュリティ対策に取り組むのがよいのではないかと考えています」(小山氏)
未対応ランサムウェアの大量流入経験
IoT環境、あるいは企業のIT環境のいずれにおいても、サイバー攻撃のリスクが高まり続けているのは間違いないでしょう。その対策を考える上で、小山氏のメッセージは参考になるのではないでしょうか。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
