IoTデバイスの脆弱性に気づくことができているのか？　－セキュリティ特集　第三回

IoT社会が進む中で、叫ばれているセキュリティの問題。IoTNEWSでは、今週も国際政治（サイバー）研究家の足立照嘉氏が、様々な角度からセキュリティとサイバー攻撃に関して解説をしていく。

セキュリティ上の欠陥に我々は気づけるのか？

米国の調査会社ガートナーによると、2020年には企業に対する攻撃の25%以上はIoT機器が何らかの形で関与していると予想されている。

身近なIoT機器が乗っ取られた時、私たちは気付くことができるのだろうか？

・・・非常に難しいです。

IoT機器を乗っ取ったマルウェアは、「DDoS攻撃を行え」と、外部からの指示を受けた時だけ動作し、その間だけIoT機器の動作が遅くなることが多い。

そのため、我々はWEBカメラの動作がいつもより少し遅いと感じるくらいで、おそらく気にすることもないだろう。

運良くIoT機器へのマルウェア感染に気付くことができた場合は、それが第一回で説明した「Mirai」であれば、IoT機器の再起動によって感染からの復旧を行うことができる。（ちなみに、IoT機器がMiraiに感染している場合、自動的には再起動できないよう設定が書き換えられてしまう。）

しかし、IoT機器を乗っ取るマルウェアは、インターネットに接続されたIoT機器を常に探し出そうとしているので、再起動してからものの数分、遅くとも1時間程度で再感染する事例がみられるのだ。

そのため、再起動と同時にIDとパスワードの変更を行わなくてはならない。

サイバー攻撃への対策の実態

ちょうど、本コラムの公開される前日（2017年2月9日）に、NICT（国立研究開発法人・情報通信研究機構）が発表したところによると、既に日本へのサイバー攻撃の半数以上はIoT機器を狙ったものとされている。

いまやIoT機器をインターネットに接続すると、ものの数分で乗っ取られてしまうのが現状なのだ。

それでは、私たちはIDとパスワードの管理だけ、気を付けておけば良いのというのだろうか？

IDやパスワードが適切に管理されていたとしても、IoT機器やシステムに脆弱性が存在すれば、そこから侵入が成功してしまう。脆弱性とは、プログラムの不具合や設計上のミス、開発者が意図しなかった使用方法によって不正侵入を許してしまうセキュリティ上の欠陥のことを言う。

そして、IoT機器の実に70%において、脆弱性が存在しているという衝撃の事実が、2014年に米国IT企業のホームページから公表されている。サイバー攻撃が経済活動である以上は、攻撃者の攻撃にかかる「コスト」がそれによって得られる「対価」を上回ってはいけないので、米国セキュリティ企業パロアルトネットワークスによると、72%のサイバー攻撃者が「侵入し易いところから攻撃を行う」と2016年に実施したアンケートに答えているというのだ。

我々も、東欧のホワイトハッカーであるD氏やP氏らとともに（彼らは世界最大のソフトウェア開発会社のセキュリティアドバイザーも務めている）了承を得た120社の企業に対して、2013年に調査を行ったことがある。すると、実に81.25%の企業のシステムにおいて「8時間以内の対応で改善が可能な脆弱性」が修正されずに残されたままであるという事実が判明した。

つまり、サイバー攻撃者が侵入することができるようなプログラムの不具合や設計上のミスが存在するにも関わらず、その対策が取られていない、もしく対策を取ることができない仕様となっているものが非常に多く存在しているということなのだ。

我々が取るべき対応と、IoT社会への警鐘

そこで、我々が取るべき行動は、IoT機器の現状を把握することだ。

まず、システムのどこにどのようなIoT機器が接続されているのかを把握しなくてはならない。その上で、IoT機器それぞれが抱える脆弱性について把握し、対策を行なっていくということが重要なのだ。

具体的に、IoT機器の脆弱性について把握するといっても、どのように把握したらよいのかわからないし、対策といっても何をやったらよいかがわからないだろう。

そこで、本編の第四回、第五回ではこの辺のことを解説していく。

IoTNEWS編集部

IoTに関する様々な情報を取材し、皆様にお届けいたします。