ここから本文です

ハニーポットが示した「野良IoT」の脅威

ITmedia エンタープライズ 10/13(木) 17:47配信

 IoTセキュリティに関して、横浜国立大学が以前から大変興味深い研究をしている。この研究をされている吉岡克成准教授の資料(「IoTセキュリティの現状と今後の課題」2016年8月3日の講演資料)によると、2016年1~6月の半年間に、インターネット経由で横浜国立大学に攻撃を仕掛けたマルウェア感染機器・システムは約60万台に上るという。たった一カ所にこれだけの攻撃が集中したということは、大変驚くべき結果だ。

【その他の画像】

 なぜ、マルウェア感染機器がこのような膨大な台数になるのか。その鍵は、感染機器の種類にある。感染機器はネットワーク機器などのIT系のものに留まらず、監視カメラや電話関連、家庭にある太陽光発電管理システムや放送関連など、あらゆるインターネットに接続した機器におよんでいる。

 これらの機器は、本来なら大学に通信をする必要が全くないはずのものばかりだろう。それにも関わらず多くの通信を試みているのは、これらの機器が既に、何者かに乗っ取られてしまっているからだ。そして攻撃者は、乗っ取り先の機器を利用して、全世界へ無差別攻撃を繰り返しているとみられる。

 吉岡先生の研究は、60万台の機器から攻撃を受けたという事実を突き止めただけでは終わらない。より詳細を調べるために、IoTデバイス向けのハニーポット(脆弱な機器を模したおとりシステム)を設置し、攻撃の状況を深く掘り下げている。これによって攻撃元と通信を行い、攻撃者がどこから攻撃をしているかの観測や、感染されたマルウェアの検体捕獲、その詳細な分析まで行っている。

 感染の原因は、「Telnet」という古くから利用されている遠隔地のサーバを操作できるシステムおよびプロトコルの存在だ。筆者も以前に利用していたが、自分のPCからサーバの情報をいろいろ確認できる大変便利な仕組みである。

 Telnetは、1983年に規定された通信規格であり、その設計は非常に古い。セキュリティ機能の追加実装もされず、その頃のままの状態にある。暗号化機能はなく、通信は平文で送られてしまうため、現在ではリモートからの通信方法として、とても推奨できるものではない。それでも、接続先機器の設定の確認などが簡単にできる利便性から、製品開発の段階で気軽に利用してしまう傾向にある。もちろん、製品製造時などに組織内部に限定して利用するなら、問題にはならない。その後に、該当するポート(標準ではポート23)をふさぐなどの適切な対処がなされればよいのだ。しかし、その対応がされずに機器が出荷されてしまうというのが現状のようだ。

 つまり、重大な脆弱性を持った状態のままに機器が出荷され、読者の皆さんの家庭を含むさまざまな場所でその事実に気がつかないまま利用され続けているのだ。こんな無防備な状況は攻撃者にとって格好の獲物だ。攻撃者はTelnetを使えることを確認するだけよい。その後はTelnetで指示をするだけで、その機器を自由に使えてしまうのだ。

●攻撃者に悪用される「野良IoT」

 このように、一般的に利用されているさまざまな機器が既にサイバー攻撃の踏み台になっており、IoTを狙う脅威の温床のようになっている。ほとんどの人は、まさか家庭の機器が攻撃の対象になっていると夢にも思わないだろう。そのような油断こそ、攻撃者にとって格好の獲物ともいえる。

 攻撃者は、その機器に重要な情報があると思ってターゲットにしているわけではない。それらの機器を見つけては乗っ取り、そこから本当のターゲットに向けて攻撃を実行する踏み台にできればいいのだ。

 つまり攻撃者は、他人が所有する機器、他人が契約した電力と通信回線を利用して、自分の懐を傷めずに効率よく攻撃を遂行できる。これによって家庭にある(設定後に放置され誰にも管理されていない)機器が「野良IoT」と呼ばれる状態になってしまう。

 この野良IoTとは、多くの機器が気軽にインターネットにつなげられる時代となってしまう状態のことだ。これらの機器の設定自体は数分でできるものも多く、設定した本人もその機器がインターネットに接続している自体も忘れてしまい、その後ずっと放置されてしまう事象を指す。このように、持ち主が知らないうちに、(犯罪者でもある)攻撃者の片棒を担がされているのかもしれないのだ。

●IoT機器が乗っ取られた時のリスク

 IoTにおけるセキュリティ対策とは、実はこのような機器(IoTデバイス)が攻撃の踏み台にされないようにすることが目的ではない。攻撃の踏み台にされてしまうことは、IoTのリスクとしては、まだまだ序の口だ。

 前回述べたように、IoTの最大の特徴とは、それまでPCやスマートフォンのディスプレイの向こう側にあるサイバー空間の出来事だったITが、身の回りの生活を含む現実世界と融合することだ。

 サイバー空間の中で起きるITの被害などは、実は意外と限定的である。誤解を恐れずに言えば、ITへのサイバー攻撃によって発生するほとんどの被害は、情報が漏えいするだけに過ぎない。もちろん、個人情報や申請前の特許情報などの機密情報、銀行口座の番号やパスワード情報――など、その情報の価値の大小には差があるだろう。それでも結局のところは、ほとんどが換金できる情報だから狙われているに過ぎない。いうなれば、ITにおけるサイバー攻撃の被害のほとんどは、お金で解決できるものだ。

 しかし、IoTのセキュリティの脅威はそれだけで終わらない。IoTはITのようにサイバー空間の中に限定されないからだ。守るべきものが換金可能な情報だけではなく、人命や取り返しのつかない文化遺産、場合によってはその国の将来など、金額に換算できないものにもおよぶ可能性がある。すなわちIoTのリスクとは、ITの事象だったサイバー攻撃の影響を現実世界に直接及ぼす状況を同時に作り出すことといえるだろう。

 その状況は、IoTの技術で自動運転が実現した未来で例えると分かりやすいかもしれない。自動運転中が実現した未来、あなたのマイカーが攻撃者に乗っ取られ、制御を奪われたとしよう。乗っ取ったのは身代金を要求するランサムウェアで、「金銭を支払わないとあなたを自動車ごと壁や崖にぶつける」と脅迫する。

 もし、あなた自身がその被害者になったら、どうするだろうか。あなたと同乗者である家族を守るために、犯罪に加担することになると分かっていても、大切な命のために身代金を支払うしかない。あなたが好むと好まざるにかかわらず、そうなってしまったら他に選択肢はないのだ。

 それに、攻撃者はターゲットを個人レベルに制限する理由は何もない。IoTによる便利な社会が実現すれば、重要インフラなどの大規模なシステムをターゲットにする攻撃が現在より拡大するだろう。核施設や有害物質を大量に保持する化学プラントが暴走したり、軍隊の無人戦闘機などが乗っ取られたりするような状況が発生するかもしれない。

●「IoTセキュリティ」とあおりすぎ?

 ここまで見てきたように、IoTに対する脅威はすぐそこに迫っているようだが、幸いなことに、現時点ではサイバー攻撃が深刻な危機となる可能性は、まだそれほど大きくはない。

 なぜなら、重要インフラを制御する仕組みは、それほど簡単に乗っ取れないからだ。そもそも特殊で強固なシステム構造をしていることから、非常に希少なノウハウに精通していないと動かすことはできない。少なくとも、遠隔地から内部構造を知らない攻撃者が自由自在に動かせるような脆弱性のある仕組みにはなっていないはずだ。

 先に挙げた横浜国立大学の研究結果は、IoT機器のセキュリティ対策が不十分なことによって、核施設や大規模プラントなどの重要インフラがすぐに乗っ取られてしまうということを意味しているわけではない。このようなリスクは、例えば、人工知能(AI)による施設の自動運用のような仕組みが実現した将来には現実のものになるかもしれないが、はるか未来の話だろう。その頃には、リスクを乗り越える術とセキュリティ対策を組み合わせた実装方法が十分に検討され、実現されているはずだ。ただし、それが実現されなかった場合の脅威は、現在のそれとは比較にならない。

●ハニーポットの示した「IoTが晒されている脅威」

 IoTへのサイバー攻撃は、現時点ではそれほど恐ろしいものではない。その要因は、攻撃者とって目に見えるメリットがまだ少ないことだ。しかし、攻撃者がITシステムからの窃取した情報で金銭を得ることよりもIoTがもうかるとなれば、話は変わる。一気にターゲットをIoTへシフトさせるはずだ。だから、今すぐに大きな脅威にはならないからといって、油断していい理由にはならない。

 横浜国立大学の研究は、このことを現時点で最も分かりやすく可視化してくれたのだ。放置されている機器は、それ1台では攻撃者にとってそれほど価値はないが、その機器の数が一定規模になると状況は大きく変わる。攻撃者が大量の機器から一カ所へ通信を集中させるだけで大規模なDDoS(分散型サービス妨害)攻撃になり得るからだ。さらに今後、IoTが本格的に普及すれば、それ以上の想定外の事件や事故が起こる可能性がますます拡大していくことも十分に予想できる。これからも現状の攻撃を定点観測していく重要性が増すだろう。

 今回はIoTによる社会が実現された時のリスクとそのセキュリティ対策の重要性について述べた。次回は、2016年春頃から公益団体などが相次いで公開し始めたIoTセキュリティに関する「ガイドライン」「手引き」「指針」「ガイダンス」などの資料を紹介しつつ、この分野のセキュリティをどのように考えていけばよいかを示していきたい。


●武田一城(たけだ かずしろ)
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

最終更新:10/13(木) 17:47

ITmedia エンタープライズ

TEDカンファレンスのプレゼンテーション動画

「水中に潜む本当の危機」
インドガリアルとキングコブラはインドの象徴ともいえる爬虫類ですが、水質汚汚濁のために存亡が危ぶまれています。環境保護者のロミュラスウィトカーがこの素晴らしい動物たちの貴重な映像をお見せして、彼らのそして私達の生活を支えている川の保全を訴えます。