IoTをゼロベースで考える第10回。自分の家にある、家電製品がすべてインターネットにつながるIoT社会では、家電製品もサイバー攻撃の的にされる可能性がある。
家電製品が攻撃されると、例えば、セキュリティ用のインターネットモニターが悪用されて家庭内の映像が外部に流出したり、テレビの有料放送の権利を他人に奪われるといった様々な問題が懸念されている。
まだ、本格化していないIoTだが、実際には様々なモノがすでにインターネットにつながっていて、悪意のある第三者に乗っ取られているという現状があるのだという。
そこで、先日行われたIoTセキュリティフォーラム2015において、横浜国立大学 吉岡 克成 准教授の「IoTデバイスのマルウエア感染の現状と対策について」という講演を聞いて考えた。
IoTデバイスのマルウエア感染状況
横浜国立大学で吉岡氏が観測したところによると、実際にこういった「モノから」の攻撃が多く観測されており、2015年4月-7月の4か月間で、横浜国立大学に攻撃してきたマルウエア感染機器・システムは、15万台、361種類、マルウエアを送り込んできた回数は、90万回あったということだ。(しかもわずか143 IPアドレスに対してだ)
どこからきているかということを突き止めると、「監視カメラ」や、「ネットワーク機器」、「電話管理連機器」、「駐車管理システム」、「LEDディスプレイ制御システム」、「ビル制御システム」、「ヒートポント」、「火災報知システム」、「指紋スキャナ」・・・・などとメモが取れないくらいの量の様々なモノからも攻撃されている状況だという。
実際に、これらの「モノ」がなにか攻撃を仕掛けてきているのか?というとそういうわけではないそうだ。
これらのモノは悪意のある第三者に踏み台にされてさらなる攻撃を仕掛けられているものも多い。
ここで、モノを攻撃すると、悪意のある第三者にとって何がいいのかを説明すると、例えば機器がダウンするくらいの負荷を与える攻撃や、監視カメラの映像を盗むといった攻撃、なにかの機器をのっとって、さらに他の機器を乗っ取るといったものまで多種多様にある。
これらのデバイス大量感染の元凶は、”Telnet”というプロトコルではないかということだ。
もともとTelnetというのは、コンピュータにアクセスする際によく使われていた通信方式だが、通信経路の情報をそのまま流す(例えば、ID/PASSはテキスト情報のまま流す)といった特徴があり、セキュリティ上問題があるとされ、Telnetによるリモートログインは推奨されていないはずだが、現実は多くの機器が今でも受け付けている状態なのだという。
そして、様々なオペレーションシステムへログインするための、デフォルトパスワードもGoogleで簡単に入手出来る状況だし、これらを使っているだけでもかなりの機器がハッキングできるというのだ。
どういう攻撃がされているかというと、DoS攻撃や、アフィリエイト広告をクリックしたように見せかけるものなどの従来型の攻撃ももちろんあるのだが、オンデマンド視聴が可能なTVの決済可能なログイン情報を盗もうとするものも観測されたということだ。
今後IoT社会になる中で、多くの機器にセキュリティ的な脆弱性があると、家庭内のセキュリティカメラの捉えた映像が盗まれたりするといった被害もでてくるのだ。
今後は、様々な機器をエミュレートした「ハニーポット」を作り、あたかも攻撃対象であるかのようなふるまいをさせることでマルウエア攻撃の手の内をしるということだ。
Telnetだけではなく、FTPやSSHなど他のサービスも問題がないかを今後調査する必要があり、情報を蓄積し、分析技術を向上させるだけでなく、どうやって警告していくか、無効化していくかも重要となる。
資料は、ipsr.ynu.ac.jp/iot/ で関連資料が閲覧できる。
これからモノを作る企業は、決してTelnetなどの脆弱なプロトコルを使えなくすることがまず重要で、自社の作るモノにはセキュリティ的な問題がないかをチェックする体制も必須となるだろう。
今後は、インターネット企業でもセキュリティを中心に事業展開をするような会社がこういったモノへのセキュリティを考慮したサービスが出てくるのではないだろうか。
一方で、簡単にモノにセキュリティを、というが、例えばPCにウイルスソフトが入っていても重く感じることがあるように、IoTにおける通信をすべてウォッチするようなことはかなり難しいのではないかとも思われる。
吉岡氏のように、世界で起きているマルウエアの状況をウォッチし、それぞれに対策をしていくという活動も重要だ。
すでに多くのデバイスがインターネットにつながっており、踏み台にされているという事実と、それを捕獲する技術、対策を検討するやり方を教えていただいたのだが、対象となるモノの数が膨大になる分、この分野は一筋縄ではいかないのも現実だ。
こわいからといって煽り立てたり、問題をあげつらうのではなく、作り手はセキュリティに関する正しい知識を持つ一方で、前に進めながらみんなで考える、より良くするという流れになってほしいと思う。
無料メルマガ会員に登録しませんか?
IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。
そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。
- DXに関する最新ニュース
- 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
- 実践を重要視する方に聞く、インタビュー記事
- 業務改革に必要なDX手法などDXノウハウ
など、多岐にわたるテーマが配信されております。
また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。
無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。
無料メルマガ会員登録
デジタルソサエティ研究家。
1973年生まれ。IoTNEWS代表。株式会社アールジーン代表取締役。
フジテレビ Live News α コメンテーター。J-WAVE TOKYO MORNING RADIO 記事解説。など。
大阪大学でニューロコンピューティングを学び、アクセンチュアなどのグローバルコンサルティングファームより現職。
著書に、「2時間でわかる図解IoTビジネス入門(あさ出版)」「顧客ともっとつながる(日経BP)」、YouTubeチャンネルに「小泉耕二の未来大学」がある。
