Raspberry Piから侵入 ~NASAの事例から学ぶIoT時代のセキュリティ~
「攻撃されていたことに気づきませんでした」嘘のような話に聞こえますが、他人事では済まされないかもしれません。
「攻撃されていたことに気づきませんでした」
嘘のような話に聞こえますが、他人事では済まされないかもしれません。
標的型攻撃は、多くの企業がターゲットになり得る、気づきにくい攻撃です。その性質から被害が表面化しにくいものの、標的型攻撃は企業にとっての深刻な脅威のひとつになっています。しかも、今はIoT時代。「見えない攻撃」の脅威は増していきます。このコラムでは、昨月に公表されたアメリカ航空宇宙局(NASA)の事例から、IoT時代の標的型攻撃の脅威と、その対策について考察していきます。
IoT時代のセキュリティリスクが垣間見えるNASAの事例2019年6月18日に同局の監察総監室から発行されたレポートによると、攻撃者は2018年4月に同局のジェット推進研究所(JPL)のネットワークに侵入し、火星プロジェクトに関する機密データを盗み出しました。同局はこの攻撃を「標的型攻撃」と位置付けており、現在も調査中であると発表しています。
多岐にわたるサイバー攻撃の中でも、標的型攻撃は、その巧妙な手口と内部活動から「気づけない攻撃」とされています。NASAが受けたサイバー攻撃は、その「気づけない攻撃」の典型でした。しかも、IoT時代の新たなリスクが含まれる事例と言えます。詳しく見てみましょう。
この事例の特徴は以下の3つです。
■侵入のポイントが「Raspberry Pi」
攻撃者がJPLの内部ネットワークに侵入する際に入り口として利用したのは、小型PCとして有名な「Raspberry Pi」でした。問題は、このRaspberry Piは、ネットワーク管理者の適切なレビュープロセスを踏まずに、許可なくネットワークに接続されたものだったことです。
■内部活動の容易さ
攻撃者は内部ネットワークへの侵入を成功させた後、JPLネットワークに点在していた脆弱性を利用しながら行動範囲を広げ、内部活動を活発化しました。また、ネットワーク分離により機密データへのアクセスを制限するといった設定も行っていませんでした。
■見えなかった攻撃
最初の侵入が確認されたのは、2018年4月。つまり、攻撃者はおよそ10か月に渡って内部活動を繰り返したいたということになります。その結果、合計23ファイル、500メガバイトの情報が抜き取られることになりました。
これらの特徴から見えるIoT時代のセキュリティリスクとは何でしょうか?
キーワードは、「点から面へ」です。
増える「点」と「運用」この事例でRaspberry Piが侵入口となったように、攻撃者にとっては、インターネットに接続されているすべての機器が侵入口の候補となります。2020年には、世界中のIoTデバイスは累計400億台を超える見込みです(情報通信白書平成30年度版)。それはつまり、サイバー攻撃の入り口となり得る「点」が、それだけ増えていくことを意味します。攻撃者にとってはターゲットデバイスの選択肢が増え、企業組織にとっては守るべき対象が増える。それがIoT時代のセキュリティリスクのひとつです。
さらに、企業はそのデバイスを守り「続け」なければいけません。つまり、日々増えていく機器からなるシステムを適切に「運用」する必要があるということです。NASAの同レポートでも、内部活動を容易にしてしまった原因のひとつとして、運用管理者がシステムの脆弱性を約半年間も放置していたことを指摘しています。侵入の「点」となり得るデバイスの可視性と運用が、IoT時代にはさらに求められるでしょう。
セキュリティ被害は「点」から「面」へ波及するしかし、問題は「点」だけではありません。IoT時代における問題の本質は「点となるデバイスから、面であるシステム全体に影響が波及してしまう」ことにあります。NASAの事例でも、攻撃者にとって侵入後の内部活動が容易であったところが、実被害を被ってしまった最大の要因であると考えられます。さらに詳しく見てみましょう。
一般消費者向けのデバイスと違い、企業で導入されているIoTデバイスの先には、企業が管理しているネットワークを経由して様々なシステムが接続されています。そしてその接続先には、顧客情報や売上データなどの貴重な情報が保管されています。その企業システム全体を、機能別に4階層に分けてあらわしたものが下の図です。
データ生成/実行を担うデバイス層、各層をつなぐネットワーク層、IoTデバイスを制御するコントロールセンター層、そしてデータを活用・保持・分析するデータアナライザ層です。この4層が連携して機能するものを「IoTシステム」と呼び、IoTシステム全体を守るすべての取り組みのことを「IoTセキュリティ」と呼びます。IoTセキュリティは情報システム部門だけの問題ではないといわれる所以が、このアーキテクチャからも見て取れるでしょう。
IoT時代には、デバイス層に位置する機器が爆発的に増えていきます。管理者が把握していないデバイスの存在の怖さ。デバイス層が起点となり、上位層へと被害が及んでいく。NASAの事例は、IoTセキュリティにおけるエントリーポイント増加のリスク、システム可視化の必要性、そのうえでシステム全体を守る仕組みが重要であることを教えてくれます。
では最後に、IoTセキュリティの勘所について、もう一段深く考えてみましょう。
システム全体を知り、守るIoTセキュリティの考え方は、「システム思考」に似ています。システム思考とは、マサチューセッツ工科大学サローン経営大学院教授であるピーター・センゲがその著書「学習する組織」の中で提唱した思考アプローチで、「目の前の問題を単体の事象としてとらえるのではなく、その事象に関係している要素同士の関連性や相互作用に着目して、より根本的な問題解決を目指そう」というアプローチです。
前述のとおり、IoTセキュリティとはIoTシステム全体のセキュリティです。IoTセキュリティと聞くと何となく「IoTデバイス対策」に注意が行きがちですが、デバイスを含めたシステムの全体最適を図ることがもっとも効果的です。各レイヤーの対策を知るには、トレンドマイクロのIoTセキュリティソリューションページが参考になるかもしれません。
また、変えられないものよりも、自分たちで変えられるものに集中することが肝心です。これからの時代、IoTデバイスの増加を食い止めることは難しいでしょう。管理者側もすべてのデバイスを把握することが難しくなるかもしれません。なので、エントリーポイントの対象となり得る機器が増えることが予想されるIoT時代には、標的型攻撃対策として、侵入を前提としたセキュリティ対策をとることも有効な手段です。また、守るべきシステムのかたちは企業によってそれぞれですが、多層のアーキテクチャであることは変わりません。標的型サイバー攻撃への有効な対策としても、多層防御のアプローチは有効です。以下の関連ブログも併せてご覧ください。
石原 陽平(いしはら ようへい)
トレンドマイクロ株式会社
マーケティングコミュニケーションマネージャー
カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。