IoT時代の情報セキュリティ対策

世界中で猛威を振るったWannaCry

近年、世界を賑わせたセキュリティ脅威として、もっとも印象が強いのは、2017年前半に世界中で猛威を振るったランサムウェア「WannaCry（ワナクライ）」（別名：WannaCrypt、WannaCryptor）」でしょう。

大久保氏によれば、WannaCryが要求する身代金はせいぜい300ドル程度であり、「身代金を請求されること自体はクリティカルではない」といいます。そして、WannaCryによる被害のもっともクリティカルな点は「ファイルが使えなくなること」であり、WannaCryの侵入経路は、従来のランサムウェアの主流であったメール経由の侵入ではなく、意図せず外部に開放されていたSMBポート経由であったこと、つまりネットワーク経由で感染する機能を備えていることが指摘されました。

なお、WannaCry以外のランサムウェアとしては、2017年6月に出現した「GoldenEye（ゴールデンアイ）」や、同年7月に確認されたAndroidを狙った「SLocker（エスロッカー）」亜種が存在します。

• WannaCry（ワナクライ）：2017年4月にハッカー集団「Shadow Brokers（シャドウ・ブロウカーズ）」によって公開された「EternalBlue（エターナルブルー）」という攻撃ツールがベースとなっている。EternalBlueは、米国家安全保障局（NSA）が作成したと噂されており、Windows 8/7/XPに存在したSMBの脆弱性（修正プログラムは同年3月に公開済み）を利用した攻撃ツール。強力な暗号方式によって、パソコン上のファイルを暗号化し、身代金を要求する。自力での復号はほぼ不可能であり、仮に身代金を支払ったからといって、必ずしも復号のための鍵が渡されるとは限らない。イギリスの国民保険サービス（NHS：National Health Service）が運営する医療センターでは、パソコン上に保存していた患者のファイルが開けなくなり、事務を手動に切り替えざるを得なくなったほか、複数の機関で診療が行えなくなったり、レントゲン撮影ができなくなったり、予定されていた心臓手術が中止になったり、緊急搬送の患者の受け入れ先が変更になったりと、その被害は62の病院に及んだ。ほかにも、インドネシアの病院やコロンビアの臓器移植データベースシステムが被害に遭い、日本の日立総合病院でもメールの送受信などに影響があるなど、世界中のさまざまな企業・組織が被害を受けている。
• GoldenEye（ゴールデンアイ）：「Petya（ペトヤ）」の亜種で、WannaCryと同様にEternalBlueを利用しているが、ファイルだけでなくマスターブートレコード（MBR）も暗号化してしまうため、パソコンが起動できなくなってしまう。また、リモートプロセス実行ツール「PsExec（ピーエスエグゼク）」を悪用している。2017年6月にウクライナやロシアを中心に被害が発生しており、チェルノブイリ原発の放射能モニタシステムがオフラインになったほか、地下鉄や空港、通信などインフラへの影響が大きかった。
• SLocker（エスロッカー）亜種：Androidを狙ったランサムウェアで、端末上のファイルを暗号化するとともに端末をロックしてしまう。WannaCryのGUIをコピーしており、WannaCryのフォロアーとみられる。

攻撃と防御は表裏一体の関係

大久保氏が挙げるランサムウェアの特徴的なところは、「本来はセキュリティを高めるための暗号化技術が逆手にとられて攻撃に利用された」ことです。そもそも、ネットワークセキュリティにおいて攻撃手段と防御手段は表裏一体であり、攻撃者が使用する侵入手法を用いて、十分なセキュリティ対策が施されているかをテストする「ペネトレーションテスト」という手法が存在する一方で、もともとは使用したいポートの開通検査に利用されていた「ポートスキャン」は、攻撃者が侵入口を探す手段としても使われています。

ランサムウェアによる被害を防ぐには

先にも述べたように、ランサムウェアによって暗号化されてしまったファイルは、元に戻せません。したがって、ファイルのバックアップはランサムウェア対策において、とりわけ重要です。

また、SMB脆弱性を利用したWannaCryやGoldenEyeの例からも明らかなように、常に最新の修正プログラムを適用することで、ランサムウェアへの感染をある程度は防げるでしょう。もし、ランサムウェアが利用する脆弱性が「ゼロデイ」だった場合でも、脆弱性に対する注意喚起、外部に開放するポートの見直し、ネットワークの一時的制限といった対策が考えられます。

そのほか、WannaCryがSMBポート経由で感染を拡大したことからも、不必要なポート（またはサービス）の開放をやめることも重要といえるでしょう。

• ゼロデイ脆弱性：修正プログラムが公開されていない脆弱性。

IoT機器を標的にしたMirai

IoT機器をボット化してDDoS攻撃に利用

WannaCryと並んで、IoT機器に対する大きな脅威となったのが「Mirai」です。Miraiは、LinuxベースのIoT機器を、DDoS攻撃に利用するためのボット化するマルウェアであり、2016年10月にDNSプロバイダに対して行われた攻撃では、ネットワークカメラなど大量のIoT機器が使用され、GitHubやTwitterがアクセス不能になりました。

Miraiの機能のうち、大久保氏がもっともクリティカルであると指摘するのが、「周辺の端末へ感染を拡大する機能」です。具体的には、過去に踏み台にされたIoT機器のID/パスワードのデータベースを備えており、周辺端末にtelnetによってログインを試みます。

過去に踏み台にされたIoT機器の多くが、デフォルトのID/パスワードをそのまま使用していました。したがって、IoT機器をインターネットに接続する場合は、ID/パスワードの変更が必須です。

• Mirai（ミライ）：2016年8月に発見された、LinuxベースのIoT機器をDDoS攻撃のためのボット化するマルウェア。ソースコードはGitHubで公開されており、構造が非常に単純なため亜種作成が容易になっている。感染したIoT機器は、C＆Cサーバからの指示に従ってDDoS攻撃を行うほか、周辺端末にtelnetでログイン試行を行い、感染を拡大する機能を備える。

被害はなくても対策は必須

Miraiは、IoT機器を踏み台として用いるだけなので、IoT機器単体で見ると深刻な被害を受けるわけではありません。しかし、だからといって対策が不要なわけではなく、社会的責任の観点から自身のIoT機器が攻撃に荷担することを防ぐ義務があります。さらに、IoT機器が踏み台にされてしまうということは、侵入可能な脆弱性があるということを意味するので、対策の必要性は明らかです。

大久保氏は、Miraiへの感染を防ぐ手段として、「不要なtelnetポートを開けない」こと、「デフォルトのID/パスワード、および推測されやすいID/パスワードを使用しない」ことを推奨しています。

ハッキング対象として注目されるIoT機器

ハッカー系国際会議ではさまざまなIoT機器がターゲットに

続いて、毎年アメリカ・ラスベガスで開催されている、ハッカー系の国際会議「BlackHat（ブラックハット）」が紹介されました。大久保氏によれば、近年BlackHatや、同様のハッカー系国際会議である「DEFCON（デフコン）」では、ハッキング対象としてIoT機器が人気とのことで、医療機器、自動車、ワイヤレス照明、スマートロックなどがハッキング対象になっているとのことです。

「BlackHat 2017」では、テスラの電気自動車に対する遠隔操作（リモートからのドア解錠、ワイパー/ブレーキの操作）や、VR機器やドローン、セルフバランス二輪車に搭載されているジャイロスコープへの音波や超音波による攻撃が紹介されていたほか、、BlackHatやDEFCONでは、電子投票システム、銀行ATM、工業用ロボット、放射能モニタシステムなどをターゲットにしたハッキング事例への関心が高まっています。

安全なIoTを実現するには

セキュリティ・バイ・デザインのIoT設計が必要

講演の最後に、大久保氏は「個別の機器の対策ではなく、IoTシステム全体を俯瞰したセキュリティ対策が重要」と語るとともに、ハードウェアはソフトウェアのパッチような後からの対策が難しいことから、「システム設計の当初からセキュリティを考慮した取り組みが重要」と訴えました。

IoTの分野では、ネットワークセキュリティと同時に、セーフティ（安全性）も重視されます。その一方で、セキュリティとセーフティでは、それぞれ異なる品質基準や規格が設けられているのが現状です。大久保氏は、「セキュリティとセーフティにおける品質基準の統一」の必要性を訴えて、講演を締めくくりました。

• 情報セキュリティ大学院大学