ここから本文です

電球からインフラ制御システムまで、ありとあらゆる「モノ」がハッキングの対象になる

@IT 9月4日(日)6時10分配信

 ありとあらゆるものがインターネットにつながり、さまざまに活用される「Internet of Things(IoT)」の世界。このトレンドはユーザーの生活をより豊かに、また便利にするものとして期待されているが、同時に懸念されるのがセキュリティ問題の深刻化だ。

【その他の画像】Black Hat Briefings/NOC(Network Operation Center)とは

 2016年8月に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat Briefings」と「DEF CON 24」で繰り広げられた複数のセッションでは、思い付く限りのありとあらゆるモノ――自宅にある身近なモノから、重要インフラや生産現場を支えるモノに至るまで――がハッキングの対象として取り上げられ、今後の改善の必要性が呼び掛けられた。

 Black Hat Briefingsの冒頭を飾った基調講演には、DNSキャッシュポイズニングの脆弱(ぜいじゃく)性に対する攻撃の成功確率を上げる「カミンスキーアタック」の発見者として知られるセキュリティ研究者、Dan Kaminsky氏が登場し、今セキュリティ研究者が抱える課題の1つとしてIoTのセキュリティがあると指摘した。同氏は「IoTは、登場当初からセキュリティの問題にさらされている初の技術だ」と述べ、利便性だけでなく、ユーザーの期待を損なわないようなセキュリティモデルをシステムデザインの中に組み入れていく必要があるとした。

 さらに同氏は、約6000人もの参加者に向け、中央集権型のモデルではなく、自律分散型のインターネット上で健全なセキュリティを確保していくために、「保健分野における米国立衛生研究所(National Institutes of Health)のように、脆弱性を狙う攻撃手法とそれを保護する方法、セキュアなプログラミングについて研究し、情報を共有できる組織が必要だ」と呼び掛けた。

●ランサムウェア感染を機に一層高まる医療機器セキュリティへの危機感

 Black Hat Briefingsに合わせて開催されたイベント「Codenomicon」では、医療機器のセキュリティをテーマとしたパネルディスカッションが行われた。

 医療の世界では、2016年に米国で発生した医療機器のランサムウェア感染事件が衝撃を持って受け止められた。医療機器は患者の生命を預かっている以上、その可用性が脅かされれば、人命に関わる深刻な問題となる。結局この病院は、やむを得ない判断として攻撃者に金銭を支払ったと報道されている。

 ランサムウェア感染の一因が、医療機器に存在する脆弱性だ。既に医療の現場で用いられているさまざまな機器についても、ITシステム同様、さまざまな脆弱性が指摘されている。「問題は、こうした機器は日々の医療行為に欠かせないものであり、OSを走らせ続けなければいけない点にある。このため、脆弱性を修正するパッチが提供されても速やかな適用が困難だ」と、医療機器メーカー、BD(Becton, Dickinson and Company)のDirector of Product Security、Roberto Suarez氏は説明した。

 加えて、多くの企業や官公庁同様、「予算」の問題も避けては通れない。医療機器はとりわけ高価であり、脆弱性が見つかったからといってそう簡単に入れ替えることはできない。いまだにWindows XPのようなサポートの終了したOSをベースとした機器を運用している環境もある。「それでも、予算の面があるために、完全に入れ替えるのはなかなか難しい」と、Philips HealthcareのGlobal Product Security and Services Officerを務めるMichael McNeil氏は実情を明かした。

 一方で、業界全体として前進の兆しも見られる。Medical Device Innovation, Safety and Security Consortium(MDISS)のExecutive Director and Co-Founder、Dale Nordenberg氏は、「医療機器のセキュリティやセーフティについては、公衆衛生的なアプローチが必要だ」とし、「米保健省(Department of Health)や米国食品医薬品局(Food and Drug Administration、以下FDA)をはじめとする政府機関と協調し、何らかの“サイバー・サーベイランス・プログラム”を実現していくべきだ」と述べた。

 また、Cyber Statecraft Initiative at the Atlantic CouncilのDirector、Joshua Corman氏は、2016年1月にFDAが立ち上げた脆弱性情報公開プログラムについて紹介した。FDAは医療機器のセキュリティ問題を重視しており、このプログラムでは、「脆弱性に関する情報をどのように収集し、どのように対応するか、そして収集した情報をどのように整理し、適切に公開するかを定めている。既にジョンソン&ジョンソンなどがこの取り組みの下、脆弱性情報を公開している」(Corman氏)という。その上で同氏は、セキュリティ研究者との連携を通じ、脆弱性情報に関する透明性を向上させていくべきだとした。

 McNeil氏はさらに、「患者の生命を救うためにも、自組織だけでなく、エコシステム全体を見る視野が必要だ。重要インフラ分野と同様、政府による法規制といった事柄も含めて検討していく必要がある」とし、業界全体の取り組みが必要だと協調した。またWhiteScopeのSecurity Researcher and Founder、Billy Rios氏は、「ランサムウェアによる被害が拡大したことの一因に、パッチに関する情報共有が欠けていたことが挙げられる。業界全体で、脆弱性や脅威の兆候に関する情報を共有していくことが大切だ」と述べた。

 さらに、Rios氏は、「脆弱性はどうしてもゼロにはならない。それを踏まえた上で、持続できるようなマネジメントを検討すべきだ。機器の製造段階のセキュリティだけでなく、ランサムウェアをはじめとする脅威がやってきたときに備え、運用段階でのセキュリティも必要だ」とも訴えた。

●便利と危険のトレードオフ――メーカーの責任とユーザーの自覚を

 医療機器のように高価で複雑な仕組み以外にも、身近なところに脆弱性は存在する。

 Black Hat Briefingsで「A Lightbulb Worm?」と題する講演を行ったColin O'Flynn氏は、フィリップスが提供するスマート照明システム「hue」のOTAファームウェアを解析することで、リモートからの制御が可能であり、理論上、自律的に照明システムで感染を広げる「ワーム」も実現可能であると説明した。

 hueはZigBee Light Link(ZLL)を活用したスマート照明システムだ。クラウド上からダウンロードできるファームウェアを通じて、場所を問わずに照明機器を操作できる。だが逆に、ワイヤレス接続に用いられるブリッジやファームウェアをハックすれば、リモートから攻撃者がコントロールすることも可能ともなる。O'Flynn氏とともに研究を行っているEyal Ronen氏は、ZigBeeのウォードライビングやドローンを用いた「ZigBeeウォーフライング」によって、リモートから照明のオン・オフなどを行うデモ動画を紹介した。

 O'Flynn氏はさらに、hue本体を手に入れ、オシロスコープによって観測した波形とバイナリを突き合わせてロジックを解析することで、メモリを上書きし、ファームウェアをアップデートすることも可能だと説明した。「こうしたスマート電球にはリスクがあるが、便利でもある。そのトレードオフに留意しなくてはならない」(同氏)。そしてこうした問題を引き起こさないよう、過去のセキュリティのベストプラクティスに習って適切にファームウェアを暗号化し、鍵管理を行うことが必要だと同氏は結論付けた。

●ユーザーも自分自身でプライバシーを保つ努力を

 DEF CON 24においても、さまざまな「モノ」を対象に、脆弱性を指摘するセッションが行われた。

 Fred Bret-Mounet氏は、Tigoが提供する太陽発電システム「Energy Maximizer」のローカル管理ユニットに、オープンなアクセスポイントと、ユーザーに明示することなく用意されているOpenVPNコネクションが存在していることを発見し、ベンダーに連絡するまでのいきさつを紹介した。

 この管理ユニットには、よくある家庭用機器と同じようにhttpdが搭載されていた。Bret-Mounet氏はHydraやNetCatといったツールを用いてログイン試行を繰り返し、そのルート権限を取得できることを実証。さらにシステムをチェックしたところ、利用規約や説明書などには一切記述のない、継続的なVPNセッションがベンダーとの間に張られていることも判明したのだという。

 Bret-Mounet氏がこの一連の経緯をベンダー側にメールで通知したところ、度重なるやりとりの末にようやく問題を認識してもらえたそうだ。ベンダーはあくまで「開発用の機器が誤って販売されたもの」と説明したというが、「少なくとも私からのセキュリティ問題に関するコンタクトをシャットアウトせずにコミュニケーションを続け、最終的には影響を受けたユーザーに代替機を送る措置をとったことは、ほめられるべき対応だろう」と同氏は言う。

 また、Bret-Mounet氏は最後に「IoTの世界において、家庭のネットワークが第三者によって遠隔操作されたらどんなことが可能になるだろうか。モニタリングされたり、ボット化されたりする恐れもある」と述べ、物理的な被害以外にも問題は起こり得ると指摘した。さらに、ベンダーにとってセキュリティを確保するのは責任の1つだとすると同時に、「シートベルトのない車を買わないのと同じで、きちんとその機器が何をするかを理解し、自分自身でプライバシーを保つ努力を取るべきだ」とユーザーにも自覚を求めた。もちろん、その前提として、責任あるセキュリティ情報公開の仕組みや透明性の確保は欠かせないだろう。

●セキュリティを確保するはずの機器に脆弱性、「笑い男」が現実に?

 Ricky “HeadlessZeke” Lawshae氏は、入退室管理システムや監視カメラといった物理的なセキュリティシステムに対し、ネットワーク経由での攻撃が可能であることをセッションで説明した。「ネットワーク経由で管理ができれば簡単で使いやすくなるが、これは同時に攻撃の懸念ももたらす」(同氏)。

 Lawshae氏は、本来ファシリティや資産を守るはずのドア開閉システムや監視カメラの機器本体、あるいはその管理ソフトには、さまざまなセキュリティ上の課題があると指摘した。例えば、ドア開閉システムに対しリプレイ攻撃を仕掛けることでロックを解除したり、コマンドインジェクションの脆弱性を悪用して制御したりするといった攻撃の可能性が考えられる。機器によってはブロードキャストでコマンドが送信されるため、「攻撃によってビル全体のロックが解除される」といった漫画のような事態も考えられる。

 また監視カメラについては、DoS攻撃を受けて本来の監視機能を果たせなくなる恐れに加え、MITM(Man In The Middle)攻撃の可能性も指摘した。「通信が暗号化されていないため、フレームをインターセプトし、改ざんすることが可能だ。Opencvを使ってカメラに映る人物の顔を認識し、『笑い男』の画像に変えることだって可能だ」(Lawshae氏)。

 こうした問題に対してLawshae氏は、「ネットワークを分離し、その中の行動を予想可能なものにすることで、異常な動きを見つけやすくなるだろう」と緩和策を紹介した。そしてブレッド氏同様、「パッチ適用を容易にするためベンダーが情報公開を進めるとともに、ユーザー自身も導入する機器をきちんと監査し、脆弱性がないかをチェックすべきだ」とした。

●閉じているはずの「生産システム」も例外ではない?

 ファイアウォールやVLANによって適切に通信制御が行われているとは限らない家庭用機器とは異なり、企業の生産現場などで使われるシステムは基本的にインターネットからは分離されたネットワークにあり、「クローズだから大丈夫」と思われがちだ。だが、DEF CON 24の幾つかのセッションによれば、残念ながらそうではないようだ。

 「Light-Weight Protocol! Serious Equipment! Critical Implications!」と題するセッションでは、Lucas Lundgren氏とNeal Hindocha氏が、IoT機器のみならず、輸送や医療、監視システムなどさまざまな産業システムで活用されているMQTT(MQ Telemetry Transport)がもたらす危険性を指摘した。

 MQTT自体は1999年に作られた古くからのプロトコルだが、低速回線経由でもさまざまな機器をコントロールできるため、今も広く産業機器などで使われている。「だが、安易な利用にはさまざまな脅威がある。機器が侵害されたり、サーバやクライアント内のデータを盗み見られたり、あるいはDoSやコミュニケーションのインターセプトなどを行われたりする可能性が考えられる」(Lundgren氏)。

 例えば、ネットワークに接続されているさまざまな機器の脆弱性を検索できるShodanで調べてみると、MQTTを利用し、かつ外部からアクセス可能な機器が多数見つかる。中には、パイプラインの圧力コントローラーの細かなパラメータや車の情報、ATMの残額まで把握できる機器や、監獄のドアをコントロールできる機器まで見つかったそうだ。

 両氏はさらに、MQTTプロトコルの内容に改ざんを加えて制御したり、偽のソフトウェアアップデートを送り付けたりできる可能性も示唆した。Lundgren氏は、「機器の動作限界や物理的なセーフティ機構によって攻撃者の思い通りに動作しないケースもあるだろうが、こうした攻撃に対処するには、少なくともデータの検証や暗号化といった対策をとる必要があるだろう」とし、「加えて、信頼できるIPアドレスからのみアクセスを許可するよう制御を施し、厳密にセグメンテーションを行うべきだ」と訴えた。

 MQTTで通信が可能なブローカーは世界中に多数存在しているため、これらを悪用したボットネットへの悪用にも注意が必要だ。「MQTTは何千、何万ものマシンに効率的にデータを送ることができる。だからこそ、ボットネットなどへの悪用にも注意が必要だ」(Lundgren氏)。

●公開プロキシが裏口になる問題、IoTの世界で再び

 続くセッション「Stargate: Pivoting Through VNC to Own Internal Networks」では、Yonathan Klijnsma氏とDan Tentler氏が、本来、リモートメンテナンスを容易に行うために用意されたリモートデスクトップツール「Virtual Network Computing(VNC)」が、さまざまな機器への裏口になっていることを指摘した。

 両氏によれば、先のMQTT同様、Shodanで検索すると、実にさまざまな機器がVNCでアクセスできる状態になっているという。健康を保つためのエアロバイク程度ならばかわいいものだが、中には患者の指紋情報やX線検査データなどを盗み見できる可能性がある医療機器も含まれているという。

 そして問題は、その多くが認証なしでオープンに使える設定になっていることだ。「要はこれらの機器は公開プロキシ状態になってしまっており、攻撃者を招き入れてしまう恐れがある」とKlijnsma氏は指摘し、もう一度設定を見直すよう呼び掛けた。また、同氏はそうした設定をチェックできるPythonコードも公開しているという。

●「分離されている」という前提がゆらぐ制御システムの現場

 また「Hacker-Machine Interface - State of the Union for SCADA HMI Vulnerabilities」と題するセッションでは、Brian Gorenc氏とFrits Sands氏が、そもそもの「重要インフラの制御システムは分離されている」という前提自体が崩れていることに目を向けるべきだと呼び掛けた。「HMI(Human Machine Interface)は重要インフラの管理や運用のメインハブであり、本来は隔離された信頼できるネットワークで動いているという前提だった。しかし最近はそうでもない」(Gorenc氏)。

 その上悪いことに、「現在のHMIソフトウェアには、ほとんど何のセキュリティも組み込まれていない。ASLRなどの緩和策は無効化されているし、認証も貧弱だ。そして何より、もはやインターネットから分離された環境ではないというのに、理解が足りていない」と、Gorenc氏はTrend Micro Zero Day Initiative(ZDI)で行った調査結果を引き合いに出しながら、HMIにはインジェクションや認証関連、不適切なデフォルト設定やメモリ破損の問題など多数の脆弱性があることを説明した。

 Gorenc氏らは、「こうした問題を作り込まないよう、メーカーはファジングやマイクロソフトが提供しているアナライザーを活用し、推奨されないAPIは利用しないといった対策を取るべきだ」とした。一方で、「仮にパッチが公開されても適用までに要する時間が長いことも制御システムの課題だ。バグバウンティプログラムを通じてこの状況の改善に寄与していきたい」と述べた。

●オープンな情報共有体制でユーザーの保護を

 DEF CON 24では他に、イタリアのスマートシティ構想の中で実装された交通システムや、地震観測用センサー、さらにはアダルトグッズ(非常にセンシティブでプライベートな情報を扱う)などを対象に、脆弱性の存在を指摘するプレゼンテーションが行われた。

 セキュリティを強く意識し、既に対策に取り組んでいる企業からすれば「インターネットから丸見えなんてあり得ない」という指摘も出てくるかもしれない。だが、セキュリティの世界では「最も弱い鎖の輪」が狙われることも事実だ。“思った以上に想定外”、などという事態が発生しないよう、基本が確実に実施できていることを確かめることが大切になる。

 本稿で紹介した一連の講演からは、これまでITの世界で蓄積されてきた基本的な対策――セキュアな設計とプログラミング、ネットワーク制御によるインターネット分離、認証――といった対策を徹底することや、脆弱性に関する情報をセキュリティコミュニティーとベンダーが交換、共有し、パッチ適用のプロセスを整備し、ユーザー保護に向けて取り組んでいくことの重要性が浮かび上がってくる。

 まだ明確な正解はないが、その中ではユーザーもセキュリティを他人任せにするのではなく、自分の機器やソフトウェアを利用する目的とセキュリティを両立する術を検討し、判断を下していく必要がある。そしてそのプロセスの大前提となるのが、各ステークホルダーがセキュリティに関してもっとオープンな姿勢を取り、情報を公開していくことだろう。Black Hat BriefingsやDEF CONのような場が果たす意味もまさにそこにあるといえる。

[高橋睦美,@IT]

最終更新:9月4日(日)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]