2016年の「Mirai(ミライ)」による被害からも明らかですが、いまやIoT機器も大きなセキュリティ脅威にさらされています。IoT機器がどのような脅威にさらされているのか、IoT機器にはどのようなセキュリティ課題があるのかについて、情報セキュリティ大学院大学の大久保隆夫氏が講演を行いました。
近年、世界を賑わせたセキュリティ脅威として、もっとも印象が強いのは、2017年前半に世界中で猛威を振るったランサムウェア「WannaCry(ワナクライ)」(別名:WannaCrypt、WannaCryptor)」でしょう。
大久保氏によれば、WannaCryが要求する身代金はせいぜい300ドル程度であり、「身代金を請求されること自体はクリティカルではない」といいます。そして、WannaCryによる被害のもっともクリティカルな点は「ファイルが使えなくなること」であり、WannaCryの侵入経路は、従来のランサムウェアの主流であったメール経由の侵入ではなく、意図せず外部に開放されていたSMBポート経由であったこと、つまりネットワーク経由で感染する機能を備えていることが指摘されました。
なお、WannaCry以外のランサムウェアとしては、2017年6月に出現した「GoldenEye(ゴールデンアイ)」や、同年7月に確認されたAndroidを狙った「SLocker(エスロッカー)」亜種が存在します。
大久保氏が挙げるランサムウェアの特徴的なところは、「本来はセキュリティを高めるための暗号化技術が逆手にとられて攻撃に利用された」ことです。そもそも、ネットワークセキュリティにおいて攻撃手段と防御手段は表裏一体であり、攻撃者が使用する侵入手法を用いて、十分なセキュリティ対策が施されているかをテストする「ペネトレーションテスト」という手法が存在する一方で、もともとは使用したいポートの開通検査に利用されていた「ポートスキャン」は、攻撃者が侵入口を探す手段としても使われています。
先にも述べたように、ランサムウェアによって暗号化されてしまったファイルは、元に戻せません。したがって、ファイルのバックアップはランサムウェア対策において、とりわけ重要です。
また、SMB脆弱性を利用したWannaCryやGoldenEyeの例からも明らかなように、常に最新の修正プログラムを適用することで、ランサムウェアへの感染をある程度は防げるでしょう。もし、ランサムウェアが利用する脆弱性が「ゼロデイ」だった場合でも、脆弱性に対する注意喚起、外部に開放するポートの見直し、ネットワークの一時的制限といった対策が考えられます。
そのほか、WannaCryがSMBポート経由で感染を拡大したことからも、不必要なポート(またはサービス)の開放をやめることも重要といえるでしょう。
WannaCryと並んで、IoT機器に対する大きな脅威となったのが「Mirai」です。Miraiは、LinuxベースのIoT機器を、DDoS攻撃に利用するためのボット化するマルウェアであり、2016年10月にDNSプロバイダに対して行われた攻撃では、ネットワークカメラなど大量のIoT機器が使用され、GitHubやTwitterがアクセス不能になりました。
Miraiの機能のうち、大久保氏がもっともクリティカルであると指摘するのが、「周辺の端末へ感染を拡大する機能」です。具体的には、過去に踏み台にされたIoT機器のID/パスワードのデータベースを備えており、周辺端末にtelnetによってログインを試みます。
過去に踏み台にされたIoT機器の多くが、デフォルトのID/パスワードをそのまま使用していました。したがって、IoT機器をインターネットに接続する場合は、ID/パスワードの変更が必須です。
Miraiは、IoT機器を踏み台として用いるだけなので、IoT機器単体で見ると深刻な被害を受けるわけではありません。しかし、だからといって対策が不要なわけではなく、社会的責任の観点から自身のIoT機器が攻撃に荷担することを防ぐ義務があります。さらに、IoT機器が踏み台にされてしまうということは、侵入可能な脆弱性があるということを意味するので、対策の必要性は明らかです。
大久保氏は、Miraiへの感染を防ぐ手段として、「不要なtelnetポートを開けない」こと、「デフォルトのID/パスワード、および推測されやすいID/パスワードを使用しない」ことを推奨しています。
続いて、毎年アメリカ・ラスベガスで開催されている、ハッカー系の国際会議「BlackHat(ブラックハット)」が紹介されました。大久保氏によれば、近年BlackHatや、同様のハッカー系国際会議である「DEFCON(デフコン)」では、ハッキング対象としてIoT機器が人気とのことで、医療機器、自動車、ワイヤレス照明、スマートロックなどがハッキング対象になっているとのことです。
「BlackHat 2017」では、テスラの電気自動車に対する遠隔操作(リモートからのドア解錠、ワイパー/ブレーキの操作)や、VR機器やドローン、セルフバランス二輪車に搭載されているジャイロスコープへの音波や超音波による攻撃が紹介されていたほか、、BlackHatやDEFCONでは、電子投票システム、銀行ATM、工業用ロボット、放射能モニタシステムなどをターゲットにしたハッキング事例への関心が高まっています。
講演の最後に、大久保氏は「個別の機器の対策ではなく、IoTシステム全体を俯瞰したセキュリティ対策が重要」と語るとともに、ハードウェアはソフトウェアのパッチような後からの対策が難しいことから、「システム設計の当初からセキュリティを考慮した取り組みが重要」と訴えました。
IoTの分野では、ネットワークセキュリティと同時に、セーフティ(安全性)も重視されます。その一方で、セキュリティとセーフティでは、それぞれ異なる品質基準や規格が設けられているのが現状です。大久保氏は、「セキュリティとセーフティにおける品質基準の統一」の必要性を訴えて、講演を締めくくりました。