インターネットにつながるデバイス代表であるPCやスマホは、すでにさまざまなセキュリティソフトなどの対策があるが、これまでインターネットにつながっていなかったデバイスがつながりだすと、守らなければいけないモノが爆発的に増える。
2016年、米国でAmazonやTwitterなどが突如利用できなくなる事件があった。ネットワーク対応の監視カメラやビデオレコーダーなどのIoTデバイス50万台が乗っ取られ、大量のデータを送りつけるDDoS攻撃が行われたことにより、アメリカのDNSサービス会社Dyn(ダイン)のサーバがダウンしたことが原因だった。
※DDoS攻撃・・・攻撃元が多数のコンピュータに侵入し、それらのコンピュータから同時に攻撃対象のサイトへトラフィックを増加させ、過剰な負荷をかける仕組み
あらゆるモノがつながっていく中、サイバー攻撃はどのようにして行われているのか、どのようなセキュリティ対策を行えばいいのか。
これまで、ルーターレベルでのセキュリティ被害の状況は検知されてきているが、デバイスレベルまでとなった時、果たしてどういうことが可能となるのだろうか。
勝手に掃除機が動き出し、電気が消えるなんてことがありえるのか。
今回、IoTサイバーセキュリティ 共同研究プロジェクトを行っている、横浜国立大学大学院環境情報研究院 准教授 吉岡克成氏、BBソフトサービス株式会社 オンラインセキュリティラボ シニアエヴァンジェリスト 山本和輝氏に、研究の詳細を伺った。(聞き手:IoTNEWS代表 小泉耕二)
-今回の研究について教えてください。
山本: 私は、BBソフトサービスでサイバー犯罪全般の啓発をしております。今回の研究概要からご説明します。
私どもでは消費者向けのセキュリティサービスをやっています。ベンダーのセキュリティサービスを月額サービス化して、キャリアなどを通じて提供するといったモデルでやっていますが、最近セキュリティの様子がちょっと違うぞ、と感じています。
クライアントでは守れないし、消費者向けには何をやったら守っていけるのか、と考えたときに、ネットに接続する機器全般をきちっと守るソリューションを作らなければいけない、という話になりました。
では、具体的にそれはどういった脅威があって、どういった守るべきソリューションなのか、私どもの立場で話すということが大事だと感じ、今回、横浜国立大学と共同研究をすることになりました。
横浜国立大学の吉岡先生はIoTのウィルスを研究され、私どもは一般機材をご提供したり、通信事業者のセキュリティサービスを研究しています。実際に大学内に試験環境を再現していますので、のちほどご紹介します。
-危険をあおる話はよく聞くのですが、具体的にはどのように守るのか知りたいと思っています。
山本: どうしても研究の中身はなかなか開示されません。「脅威にはもう対応しています」と言われても、どのレベルで対応しているかメーカーによっても違うこともあります。
-ネットワーク全体を守らないといけないとお考えでしょうか?
山本: ネットワークといいますか、従来からルータへの攻撃が非常に多いのですが、ここは皆さんが全く関心ないところなのです。個人的なことを申し上げますと、ルータのアップデートはなかなかしにくいですし、自動的にやってくれるわけではないので、なかなか難しいものがあると感じています。
研究内容としては、具体的にIoTのランサムウェアのようなものがあったらどうなのか、という実証実験も含め、さまざまなハードウェア・ソフトウェアを扱いますので、それらがセキュリティ的にどういう実装がされているのかなども調べていきたいと思っています。
試験環境の中には、Wi-Fiやケーブルを接続して、一般消費者が使われるような機器がありますが、今は、ほとんどの家電がネットワークにつなぐ機能があります。その中で、ネットワーク内でマルウェアが侵入したときに、どういったことが起きるのかが再現できるような疑似攻撃ができるPCをつないでおります。
-L2スイッチはあまり家になさそうですが、実験用でさまざまなモノを接続するためにハブとして使っているだけでしょうか。
吉岡准教授: そうですね。モニタリングの仕組み上、ポートミラーリングをして、機器で観測をする必要があります。実際の家庭ではL2スイッチはない前提です。
-なるほど。通り抜けているだけだけど、データをロギングするために別でミラーリング環境を作って、ネットワークを監視しているということですね。
今までの研究で、ルータまで攻撃がきていて、ルータが感染するということは分かっています。ルータを乗っ取ったら当然家の中にも侵入できるのですが、侵入しているのかどうかは、これまで私たちが構築した観測網では分かりませんでした。ですので、わざわざその先に試験環境を作って見ています。
-以前、横浜国立大学への攻撃に罠を仕掛けて、観察されているということを伺いました。その踏み台となっている多くはセキュリティカメラなどで、さらに家の中まで来て、ビデオの機器B-CASカードの決済情報などを盗むと聞きましたが、要は個人の決済情報を盗んで悪用しようという人がいるんじゃないか?ということを想定されているのでしょうか?
吉岡准教授: そうです。そういった認証情報を持っていくこともありますし、その他にもさまざまなことがあり得ると思っています。もうそれが起きているのであれば、観測をして見られる可能性がありますが、せっかく実験環境を作っても、まだそこまでの攻撃がないという可能性もありました。
そこで、リアルな攻撃を観測するだけでなく、自分たちでも攻撃者の視点で、もしも自分たちが例えばルータを乗っ取ったら、家庭に対してどういう攻撃ができて、どういうメリットがあるのかということも合わせて検証したいので、疑似攻撃もしています。
IoTの世界でランサムウェアってあり得るのか?もしやろうと思ったらどうやるんだろう?ということを、本当に起こる前に先回りして検討しています。その先にあるのは、どう守るの?という話になりますが、まずは攻撃としてあり得る脅威をある程度リストアップしたり、やろうと思ったら本当にできるのかということを調べたりしたいので、こういう環境を作りました。
山本: 一般のコンシューマーが出会う本当の脅威は、自分で引き入れていることが多いのです。例えばよくあるのは、スパムメールをクリックしてしまうことです。パソコンやスマホであれば検知ソフトがありますが、IoT機器を起点にそういうことをやられると、ちょっと怖いよね、と。
-例えば、音声認識スピーカーが勝手にしゃべって、ウィルスをばらまかれるかもしれないですよね。
次ページ: 横浜国立大学内に作られた試験環境、疑似攻撃のデモンストレーションなど
山本: それでは、横浜国立大学内に作った実際の試験環境をご覧ください。
吉岡准教授: ここは、家庭のリビングの雰囲気を模して作っており、コネクテッド試験室と呼んでいます。IoT機器は、有線無線合わせて約20機種がつながっています。
この試験室は、ルータ経由でインターネットにつながっている状況で、この可視化システム(下記図)で見ると、家のマークがこの場所で、世界中からルータまで攻撃が来ている状況です。
-家のルータは固定のIPアドレスを持っていることがあまりないと思いますが、それでも家まで来てしまうのでしょうか。
吉岡准教授: はい。動的アドレスでも、相手はいてもいなくても広範囲でスキャンしているので、結局攻撃が届くことになります。動的アドレスと静的アドレス両方を見ていますが、両方分け隔てなくやってきます。
この可視化システムは6月22日の半日分のデータを図にしており、ヨーロッパやアメリカから多く攻撃がきていることが分かります。
IoTを主に狙っているテルネットと呼ばれるサービスへの攻撃だけ可視化しています。ワナクライ(WannaCry、ランサムウェアの一種)なども多くきていますが、ワナクライはWindows系でIoTとは直接関係がないので、可視化はしていません。
そして、家の玄関(ルータ)まで攻撃が来ているのは分かったのですが、そこから入って悪さをするのか?ということを見たいので、ルータは弱いものにしておき、進入させてみるというのが、まずやりたいことです。
ただ攻撃してくれないと実験になりませんので、われわれがルータを乗っ取り、そのルータから家庭内に侵入する、という疑似攻撃も行い検証します。
よく知られているのは、ルータがどこかのサイトにDoS攻撃をするというのがありますが、それが家庭内に入ったらどうなるかという単純な実験です。
ロボット掃除機に対してDoSのトラフィックが流れたら、ロボット掃除機は操作できるかどうかを調べます。疑似的にここに彼女が攻撃者としていますが、家の外にいる攻撃者だと思ってください。
吉岡准教授: 試験室のルータに本物のマルウェアを仕込んであります。Mirai(ミライ)ではなく、BASHLITE(バッシュライト)という以前から流行っていて今も活動しているマルウェアです。
本物を動かすのですが、攻撃者のサーバにつないでしまうと本当に操られてしまうので、サーバの部分はわれわれがコントロールできる制御サーバを用意して、そちらにつなぐよう調整してあります。
それを彼女が、ここから攻撃しますが、偽モノの制御サーバからマルウェアに命令がいってDoS攻撃をロボット掃除機にかけます。
吉岡准教授: 何も攻撃していないときは、タブレットのCleanというボタンを押すと、普通に動きますが、攻撃をするとCleanを押してもエラーマークが出て動かなくなったり、場合によっては少し時間がたってから動き出して、止めようと思っても止まらなくなったりします。
吉岡准教授: これはタブレットだけの現象で物理ボタンを押せば問題ありません。タブレットとロボット掃除機の間がDoS攻撃で埋められてしまって、命令の通信が届かない状況になっています。
こちらの右側の画面は、ホームネットワーク内の通信を示しています。真ん中は攻撃者のマシンの画面を表示しています。
マルウェアも動いていて、制御サーバに定期的に通信をしています。今はブロックしているので攻撃は発生しないのですが、疑似サーバを立ち上げると、そちらにつながって攻撃命令を出すようにしています。
ここで、疑似制御サーバを動かし、DoSの命令を送っています。
https://youtu.be/uqPY5aq-aHY
-一気にきましたね。
吉岡准教授: 今、Wi-Fiはパケットが溢れていて、通信しにくくなっています。今回はロボット掃除機だけの実験ですが、他も試すべきだと思っています。通信方式によっては、あまりDoSの効果がないこともあります。このロボット掃除機は、しっかり通信の暗号化をかけているのでDoSには逆に弱いのです。
-多くのIoT機器が上りでデータを流すくらいであればDoSの対応はあまりしなくてもいいのでしょうが、頻繁にやりとりしなければいけない制御しているようなモノは危ないですよね。家庭用ルータとデバイスの間はDHCPなのでしょうか?
吉岡准教授: いえ、この試験室では固定のIPでふっています。どこにロボット掃除機が動いているか簡単に分かります。
-どこのデバイスにつながっているかは分かるので、そこに何らかの応答を投げかければ、「これはロボット掃除機だ」などということが分かるということですね。
吉岡准教授: ルータを乗っ取った攻撃者による攻撃を想定しているので、ルータを経由した通信を攻撃者が観測することで機器を発見できます。つまり、どういうつなぎ方をしているかは、あまり関係がありません。
-IPアドレスがふられてしまえばコントロール可能ということですね。
吉岡准教授: そうですね。もうひとつお見せします。
先ほどは帯域を埋めてしまって、通信が正しく行えなくなるというものでしたが、こちらは、操作してしまうというタイプです。
スマートプラグの例になりますが、これはスマホなどでオン・オフをするものですが、少し解析したところ、正規のコントローラではなくても、オン・オフの命令を出すことができてしまうということが分かりました。
モノによっては簡単に操作できないスマートプラグもありますが、試験室のスマートプラグは正規のアプリを使わずに、攻撃者が電源を落とすことができました。スマートリモコンを経由して、テレビを消すことも可能です。
-そもそも日本でなかなか技適が通らなかった理由だと思いますが、空調など熱源に使っているスマートプラグを外からコントロールできると、火事になってしまう問題があると言われていますが、こんな風に乗っ取りができるとなると危ないですね。
吉岡准教授: 熱が出る、うるさくなる、物理的に動いてしまう、などが身の回りで乗っ取られると怖いものだと思っているので、ダイレクトに乗っ取られるのか?という調べ方と、オン・オフくらいは別の機器でできてしまうという場合、その両方の可能性を調べています。
-実際には今回の実験のような攻撃はあまりないでしょうか?
吉岡准教授: 分からないというのが正直なところです。ハニーポットのようにグローバルの攻撃であれば、おとりで観測できるのですが、本当の家庭内でおとりを仕掛けるところまではできていません。そのデータを持っている企業などもほとんどないと思っています。
唯一分かりそうなのは、IoTデバイスを販売している会社はそこにデータが集まってくるので、詳細を知っているかもしれません。
今ベンダーがIoT製品を出そうとしていますが、これからは家庭内のサイバー攻撃のデータに価値が出てくるので、どこが先に大きなデータを集めるかが重要になってくると思います。
山本: 今後はIoT機器のメーカー、IoTサービスやシステムの提供者、セキュリティベンダーそれぞれからのアプローチがより活発になると思います。今後この共同研究を通じて、明日やってくるかも知れない一般消費者をも巻き込むサイバー攻撃について予測し、備えるために何をすべきかより深く考察していきたいと思います。
-本日はありがとうございました。
【関連リンク】
・IoTサイバーセキュリティ 共同研究プロジェクト