IoT時代が到来している現在、インターネットにつながるデバイスの数は年々増加している。IoTがもたらす産業の変革や市場の成長性が注目を集める一方で、危惧されているのがセキュリティの問題だ。IoT機器を狙ったサイバー攻撃も実際に確認されている。IoTに求められるセキュリティ対策とは何か。(取材・文/前田幸慧)
狙われるIoT機器
IoTにサイバー脅威が迫っている。情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」において、2017年は「組織」で「IoT機器の脆弱性の顕在化」が、前年の「ランク外」から「8位」にランクアップした。急上昇の背景として、16年に自動車や医療機器のぜい弱性が公表されたことや、ぜい弱性を悪用した攻撃が確認されたことが挙げられている。
総務省の「情報通信白書」(平成29年版)によると、16年における世界のIoTデバイス数は173億個で、20年には約300億個になるとの見通しを示している。4年間で倍近く増える計算だ。家電や自動車、産業用機器や制御システムなど、従来は閉域網で稼働していた、あるいはそもそもネットワークにつながっていなかった機器がネットワークにつながるようになってきている。そうした機器が、セキュリティ脅威に晒されてきているのだ。
とくに、重要インフラで利用されるIoT機器などは、サイバー攻撃によるシステム停止が発生すると、国民生活や社会経済活動、最悪の場合は人命にまで影響を及ぼすと考えられる。従来、サイバーの世界で閉じていたセキュリティ脅威が、IoTではデバイスを通じて物理世界にも影響を与える可能性があるのだ。また、重要インフラ系以外のIoT機器でも、マルウェアへの感染によってDDoS攻撃の“踏み台”に利用されてしまうことがある。つまり、IoTのユーザーが知らず知らず、被害者でありながら加害者にもなるリスクがあるということだ。
IoT機器のボット化に注意
「IoTへの攻撃例で代表的なのは、IoTボットによるDDoS攻撃だ。16年以降、大きな被害が確認されている」と、トレンドマイクロの岡本勝之セキュリティエバンジェリストは語る。
トレンドマイクロ
岡本勝之
セキュリティエバンジェリスト
この発言が示すのは、16年秋頃に大規模な攻撃を引き起こしたマルウェア「Mirai(ミライ)」である。IoT機器のボット化は一般的に、IoT機器自体のぜい弱性を突いたり、初期設定のログイン情報を使って機器にログインすることで行われる。Miraiの場合は後者で、マルウェアに感染したIoT機器がさらに別のIoT機器へと感染を広げ、機器同士でボットネットワークを構築。攻撃者による遠隔操作によってこれらの機器からDDoS攻撃を仕掛ける。これにより数百Gbpsという大規模な攻撃が発生。フランスのOVHではピーク時、「1Tbps近い」DDoS攻撃を受けていたという。Miraiのソースコードは公開されていることから亜種も発生しており、日本においても昨年末、Miraiの亜種の活動に対して情報通信研究機構(NICT)やJPCERTコーディネーションセンター(JPCERT/CC)が注意喚起を行うなど、依然として脅威は続いている。
岡本セキュリティエバンジェリストによると、これ以外にも、仮想通貨のマイニング(発掘)にIoTボットネットが使われた例が確認されているほか、「迷惑メールの送信、他のシステムへの侵入といった攻撃の踏み台としてIoT機器が悪用されることも十分に考えられる」という。
「トレンドマイクロでは、昨年1年間で、デフォルトのパスワードを用いた攻撃を全世界で約3000万件、パスワードの総当たり攻撃も300万件以上確認している。これは当社のソリューションが検出した数のため、当社の製品が入っていない環境を含めると、その数はこの何倍にもなるだろうし、気づかずに感染してしまっていることも考えられる。いずれにしても、IoT機器に対して侵入を試みる攻撃自体は、かなり大きな規模で発生しているといって間違いない」と岡本セキュリティエバンジェリストは説明。「こうした攻撃自体はずっと行われてきているが、危険であるということはまだ十分に伝わっていない」と、企業においてもIoTに対するセキュリティ意識は低いといい、現状はまず意識の啓発が必要な段階であると指摘する。
国もIoTセキュリティ対策を後押し
IoTに対するセキュリティ意識を高めるために政府は近年、内閣サイバーセキュリティセンター(NISC)が中心となり、IoTセキュリティに関する検討を進めている。
16年7月5日、総務省と経済産業省が、IoT機器やシステム、サービスの供給者とそれらの利用者向けに、「IoTセキュリティガイドライン ver.1.0」を公開。企画・設計段階からセキュリティを確保する「セキュリティ・バイ・デザイン」がIoTセキュリティ対策の基本原則であるとしつつ、IoTのライフサイクルを「方針」「分析」「設計」「構築・接続」「運用・保守」に分け、「5つ指針」として各段階におけるセキュリティ対策の要点を解説している。
また、17年10月3日には、総務省が「IoTセキュリティ総合対策」を公表。基本的な考え方として、機器、ネットワーク、プラットフォーム、サービスの各レイヤごとに課題を抽出し、総合的な視点で対策を講じることの必要性を指摘している。つまり、どこか一つのレイヤだけセキュリティ対策を行えば十分というわけではなく、すべてのレイヤでセキュリティ対策をとらなければならないということだ。さらに、具体的な施策として、(1)ぜい弱性対策に係る体制の整備、(2)研究開発の推進、(3)民間企業等におけるセキュリティ対策の促進、(4)人材育成の強化、(5)国際連携の推進の5つを挙げているが、とくに(1)については、セキュリティ・バイ・デザインの考え方を踏まえて設計された機器に「認証マーク」を付与し、「認証マークの付された機器の使用を推奨すること」などについて検討を行う旨が記されている。IoT機器メーカーにとっては今後、一種の「ブランド」として、認証マーク取得に向けたセキュリティ対策の向上が活発になることも考えられるだろう。
また、昨年4月に「セキュアIoTプラットフォーム協議会」が設立。同協議会では、国の動きと連携しながらIoTの活用推進や事例の共有、PoCの実施などを行っている。IoT機器メーカーやチップメーカー、セキュリティベンダーなど、設立当初は21社4団体が加盟していたが、現在は40社8団体まで拡大。オープンイノベーションでIoTセキュリティの検討を進めている。
[次のページ]業界を超えた連携を
